Pada 8 Juli 2025, Microsoft merilis KB 5062572 (berlaku untuk Windows Server 2008 R2 hingga 2022 domain controller) untuk mengatasi CVE‑2025‑49716 dan meningkatkan verifikasi akses pada Netlogon RPC.
Lingkungan yang berpotensi terdampak: Server Samba yang bergabung dengan AD dan menggunakan backend tertentu seperti idmap_ad dapat mengalami kegagalan otentikasi atau pemetaan identitas setelah pembaruan.
Status QNAP NAS: Sistem QNAP NAS dengan konfigurasi default tidak terpengaruh oleh perubahan ini, sehingga aman untuk menerapkan pembaruan.
Catatan Penting: Pengguna yang menggunakan konfigurasi non-default (seperti idmap=ad) kemungkinan akan terdampak dan sebaiknya meninjau pengaturan Samba mereka atau berkonsultasi dengan administrator TI sebelum melanjutkan.
Untuk detail lebih lanjut, silakan merujuk ke dokumentasi resmi Microsoft:
Memang kami terdampak, atau setidaknya sejak Selasa lalu tanggal 17, pengguna tidak dapat mengakses share apa pun. Kami menggunakan “ad” sebagai idmap, bukan RID.
Error yang terlihat di log adalah:
Kode kesalahan RPC DCERPC_FAULT_ACCESS_DENIED diterima dari host myDC.mysite.it
NAS kami adalah:
Model = TS-X32U
Internal Model = TS-X32U
Server comment =
Version = 5.2.5
Build Number = 20250623
Number = 3173
Maaf Anda mengalami masalah dengan NAS Anda. Biasanya, sistem NAS QNAP yang dikonfigurasi dengan pengaturan default idmap=rid untuk integrasi Active Directory tidak terpengaruh oleh pembaruan Microsoft KB 5062572 (dirilis 8 Juli 2025) yang membahas CVE-2025-49716. Namun, karena TS-X32U Anda yang menjalankan QTS 5.2.5 (Build 20250623) menggunakan pengaturan idmap=ad dalam konfigurasi Samba, tampaknya perangkat Anda terdampak, sesuai dengan saran dari Microsoft.
Pembaruan ini memperkuat keamanan dengan memberlakukan kontrol akses yang lebih ketat untuk permintaan Netlogon RPC tertentu, yang berpotensi memicu error “RPC fault code DCERPC_FAULT_ACCESS_DENIED” dan masalah akses yang Anda alami sejak 17 Juli.
Karena masalah ini berasal dari kebijakan keamanan terbaru Microsoft, Anda mungkin perlu menyesuaikan konfigurasi Samba atau berkonsultasi dengan administrator TI yang berpengalaman dalam integrasi AD untuk menemukan solusi yang tepat.
Terima kasih sekali lagi telah mengangkat isu idmap=ad—informasi ini sangat berharga bagi pengguna lain dengan konfigurasi serupa.
Tim, terima kasih atas balasan Anda yang baik. Sebenarnya saya juga mengelola infrastruktur AD yang melayani semua sistem di universitas kami dan saya tidak dapat membatalkan patch MS agar QNAP dapat berfungsi kembali, yang dari sisi Microsoft merupakan satu-satunya opsi.
Perkiraan saya, begitu tim SMB merilis patch yang berfungsi, patch tersebut juga akan tersedia untuk sistem Anda. Ngomong-ngomong, anehnya QNAP lama lainnya dengan versi samba yang lebih tua (4.4.16) tampaknya tidak terpengaruh seperti yang satu ini (4.15.13).
Kami juga terdampak oleh pembaruan microsoft terbaru - melihat cara kerja dan instalasi samba di QNAP, tampaknya memungkinkan untuk memperbarui versi samba ke versi yang sudah mencakup perbaikan tersebut.
Saya berharap hal ini akan menjadi lebih mudah sekarang karena samba disediakan sebagai aplikasi!
Yth. TimL, apakah memungkinkan untuk mendapatkan firmware baru atau setidaknya versi winbind yang sudah dipatch terkait masalah ini? Sudah dua bulan berlalu dan pengguna kami masih belum bisa mengakses file mereka. Saya siap membantu pengujian jika diperlukan.
Terima kasih
Hai, karena penggunaan yang terdampak berada di luar skenario yang telah kami rancang, kami sedang mengevaluasi solusi patch. Mohon beri kami waktu untuk mengevaluasi patch yang tidak menimbulkan efek samping pada skenario default.
Kepada TimL, setelah berbulan-bulan sejak postingan saya yang pertama, saya melihat bahwa masalah dengan CVE ini masih belum diperbaiki, sementara saya melihat ada pembaruan firmware lain yang telah dirilis.
Meskipun kami harus menghentikan penggunaan QNAP karena kegagalan ini—perangkat tersebut menjadi tidak berguna—apakah Anda memiliki rencana untuk memperbaiki layanan samba pada QNAP?