威聯通NetBak Replicator無法承受鉅量字串輸入
- 發布單位:TWCERT/CC
- 更新日期:2019-04-03
- 點閱次數:505
內文
●概述:
國內NAS大廠威聯通開發之應用工具NetBak Replicator,適用Windows電腦用戶,執行全硬碟檔案備份還原作業,支援WebDAV(Web-based Distributed Authoring and Versioning)和FTP協定的異地備份,經西語人士Yair Rodríguez Aparicio於Windows XP Profesional SP3環境測試,NetBak Replicator 4.5.6.0607版的WebDAV網址輸入欄位,其演算法無字串量限制,塞入5000字內容即肇生DoS,目前QNAP官網公開之NetBak Replicator版本係4.5.7.1004(數位簽章日2018年10月4日),然未說明是否修補上述缺點。
●編註:
為忠於原意,部分關鍵字維持西班牙文,根據Yair Rodríguez Aparicio探勘步驟,首先備妥約5000字內容之文字檔,接著執行NetBak Replicator.exe,啟動介面後,進行下列操作:
⇧點擊Restauración(恢復) Instantánea(快照)
⇧選擇Origen(來源) -> "Ubicacion de red(讀取位置)"
⇧按下"Dirección(位址) URL WebDAV"
⇧在"Dirección URL WebDAV"貼上5000字資料
⇧點擊"Aceptar(接受)"
此際NetBak Replicator程式呈現crash狀態。
影響產品
NetBak Replicator 4.5.6.0607
解決辦法
暫無
相關連結
- https://www.exploit-db.com/exploits/45749/
- https://www.qnap.com/zh-tw/utilities/essentials
- http://files.qnap.com/manualpdf/NetBak_Manual_v4.5.0/201509799-NetBak_CHT_v4.5.0.pdf
- https://www.qnap.com/zh-hk/how-to/tutorial/article/%25E5%25A6%2582%25E4%25BD%2595%25E9%2580%258F%25E
- https://zh.wikipedia.org/wiki/%25E5%259F%25BA%25E4%25BA%258EWeb%25E7%259A%2584%25E5%2588%2586%25E5%2
- https://download.qnap.com/Origin/i/_images/utility/icon/4.png