Qnap патчит две критические уязвимости - «Новости»
- 10:30, 08-ноя-2023
- Вёрстка / Преимущества стилей / Новости / Изображения / Текст / Интернет и связь
- Гликерия
- 0
Представители Qnap предупреждают о двух критических уязвимостях, связанных с инъекциями команд, которые затрагивают различные версии операционной системы QTS и приложений на NAS компании.
Первая уязвимость (CVE-2023-23368), получила оценку 9,8 балла из 10 по шкале CVSS, то есть является критической. Проблема связана с инъекциями команд и может использоваться удаленным злоумышленником. Эта уязвимость затрагивает следующие версии QTS: QTS 5.0.x и 4.5.x, QuTS hero h5.0.x и h4.5.x, а также QuTScloud c5.0.1.
Проблема уже устранена в следующих сборках:
- QTS 5.0.1.2376 build 20230421 и более поздние версии;
- QTS 4.5.4.2374 build 20230416 и более поздние версии;
- QuTS hero h5.0.1.2376 build 20230421 и более поздние версии;
- QuTS hero h4.5.4.2374 build 20230417 и более поздние версии;
- QuTScloud c5.0.1.2374 и более поздние версии.
Вторая уязвимость (CVE-2023-23369), имеет более низкий рейтинг (9 баллов по шкале CVSS), но тоже может использоваться удаленным злоумышленником для внедрения и выполнения команд. Уязвимость затрагивает следующие версии QTS: 5.1.x, 4.3.6, 4.3.4, 4.3.3 и 4.2.x, Multimedia Console 2.1.x и 1.4.x, а также аддон Media Streaming 500.1.x и 500.0.x.
Патчи уже доступны в следующих версиях:
- QTS 5.1.0.2399 build 20230515 и более поздние версии;
- QTS 4.3.6.2441 build 20230621 и более поздние версии;
- QTS 4.3.4.2451 build 20230621 и более поздние версии;
- QTS 4.3.3.2420 build 20230621 и более поздние версии;
- QTS 4.2.6 build 20230621 и более поздние версии;
- Multimedia Console 2.1.2 (2023/05/04) и более поздние версии;
- Multimedia Console 1.4.8 (2023/05/05) и более поздние версии;
- Media Streaming 500.1.1.2 (2023/06/12) и более поздние версии;
- Media Streaming 500.0.0.11 (2023/06/16) и более поздние версии.
В прошлом уязвимые устройства Qnap не раз становились мишенью для масштабных вымогательских и других атак. К примеру, год назад хак-группа Deadbolt шифровала устройства NAS, доступные через интернет, используя 0-day уязвимость. В связи с этим пользователям Qnap рекомендуется как можно скорее установить патчи.
Комментарии (0)