Основы Интернет - технологий.

Компания QNAP предупредила об уязвимостях, обнаруженных в составе QTS, QuTS hero, QuTScloud и myQNAPcloud. Эти проблемы позволяли злоумышленникам получить доступ к чужим устройствам. Производитель исправил сразу три уязвимости, которые могли привести к обходу аутентификации, инъекциям команд и SQL-инъекциям. И если два последних бага требуют, чтобы злоумышленник был аутентифицирован в целевой системе, что значительно снижает риски, то первый баг (CVE-2024-21899) можно эксплуатировать удаленно и без аутентификации. В QNAP описывают уязвимости так: CVE-2024-21899: недостаточные механизмы аутентификации позволяют неавторизованным пользователям удаленно нарушить безопасность системы; CVE-2024-21900: аутентифицированные пользователи могут выполнять произвольные команды в системе через сеть, что потенциально может привести к несанкционированному доступу к системе или управлению ею; CVE-2024-21901: позволяет аутентифицированным администраторам внедрять вредоносный SQL-код через сеть, что может привести к нарушению целостности БД и манипулированию ее содержимым. Перечисленные уязвимости затрагивают различные версии операционных систем QNAP, включая QTS 5.1.x, QTS 4.5.x, QuTS hero h5.1.x, QuTS hero h4.5.x, QuTScloud c5.x, а также сервис myQNAPcloud 1.0.x. Пользователям рекомендуется как можно скорее обновиться до следующих версий, в которых устранены все три проблемы: QTS 5.1.3.2578 20231110 и более поздние версии; QTS 4.5.4.2627 20231225 и более поздние версии; QuTS hero h5.1.3.2578 20231110 и более поздние версии; QuTS hero h4.5.4.2626 20231225 и более поздние версии; QuTScloud c5.1.5.2651 и более поздние версии; myQNAPcloud 1.0.52 (2023/11/24) и более поздние версии.