Qnap, QTS, QuTS Hero ve QuTScloud NAS işletim sistemlerindeki güvenlik açıkları konusunda uyarıyor. Saldırganlar bunları, ağ depolama cihazlarının işletim sistemi tarafından yürütülen komutları ağdan enjekte etmek için kullanabilir. Güvenlik açıklarını kapatan güncellenmiş bir ürün yazılımı mevcuttur.
Duyuru
Qnap, güvenlik tavsiyesinde iki güvenlik açığının bulunduğunu yazıyor. Her ikisinin de açıklaması şu şekildedir: Qnap işletim sisteminin birden fazla sürümünde komut kaçakçılığı güvenlik açığı rapor edildi. Yanlış kullanılırsa kullanıcıların ağ üzerinden komut yürütmesine olanak tanırlar (CVE-2023-47218, CVE-2023-50358, CVSS) 5.8“Risk”orta“).
Qnap: Risk, ürün yazılımı sürümüne bağlıdır
Ancak sağlanan CVSS değeri gerçeğin tamamını yansıtmıyor gibi görünüyor. Bu sınıflandırma yalnızca QTS ve QuTS Hero'nun iki sürümünü (sırasıyla 5.0.1 ve 5.1.x) etkiler. QTS ve QuTS Hero 5.0.0, QTS 4.5.x, 4.4.x, 4.3.6, 4.3.5, 4.3.4, 4.3.x, 4.2.x sürümlerinin yanı sıra QuTS Hero 4.x ve QuTScloud 5 sürümleri. x, geliştiricilerden “yüksek” risk notu aldı.
Güvenlik danışma belgesi, işletim sistemi sürümlerini hata düzeltmeleriyle birlikte ayrıntılarıyla anlatır. Özellikle QTS ve QuTS Hero'nun en son sürümleri için, kısmi düzeltmelere sahip aygıt yazılımı sürümleri 2022'ye kadar uzanır. Ancak tamamen düzeltilmiş aygıt yazılımları, Noel 2023'ten Ocak ayının sonuna kadar uzanır veya daha da yenidir. Yöneticiler bunları hızlı bir şekilde yüklemelidir. Bunu yapmanın en kolay yolu, yönetici web arayüzünde, “Denetim Masası” – “Sistem” – “Ürün Yazılımı Güncellemesi” altında ve ardından “Canlı Güncelleme” altında “Güncellemeleri kontrol et” seçeneğini seçmektir. Alternatif olarak ürün yazılımı Qnap İndirme Merkezi'nden de indirilebilir.
Qnap'a göre hızlı bir test, sisteminizin savunmasız olup olmadığını belirlemeye yardımcı olur. Cgi betiği NAS'ta bulunabilir /cgi-bin/quick/quick.cgi, o savunmasızdır. Gelen çağrıyı döndürür https://<NAS-IP>:<NAS Web-Port>/cgi-bin/quick/quick.cgi Ancak bir HTTP 404 hata sayfası döndürülürse sistem güvenlik açıklarına karşı savunmasız değildir.
Şubat ayının başında Qnap, komuta kaçakçılığındaki açıkları yeni donanım yazılımı sürümleriyle kapatmıştı. Toplamda, düzeltmeler 30'dan fazla CVE girişini içeriyordu; bunlardan bazıları kritik risk derecelendirmesi almıştı.
(Bilmiyorum)
Haberin Sonu
Duyuru
Qnap, güvenlik tavsiyesinde iki güvenlik açığının bulunduğunu yazıyor. Her ikisinin de açıklaması şu şekildedir: Qnap işletim sisteminin birden fazla sürümünde komut kaçakçılığı güvenlik açığı rapor edildi. Yanlış kullanılırsa kullanıcıların ağ üzerinden komut yürütmesine olanak tanırlar (CVE-2023-47218, CVE-2023-50358, CVSS) 5.8“Risk”orta“).
Qnap: Risk, ürün yazılımı sürümüne bağlıdır
Ancak sağlanan CVSS değeri gerçeğin tamamını yansıtmıyor gibi görünüyor. Bu sınıflandırma yalnızca QTS ve QuTS Hero'nun iki sürümünü (sırasıyla 5.0.1 ve 5.1.x) etkiler. QTS ve QuTS Hero 5.0.0, QTS 4.5.x, 4.4.x, 4.3.6, 4.3.5, 4.3.4, 4.3.x, 4.2.x sürümlerinin yanı sıra QuTS Hero 4.x ve QuTScloud 5 sürümleri. x, geliştiricilerden “yüksek” risk notu aldı.
Güvenlik danışma belgesi, işletim sistemi sürümlerini hata düzeltmeleriyle birlikte ayrıntılarıyla anlatır. Özellikle QTS ve QuTS Hero'nun en son sürümleri için, kısmi düzeltmelere sahip aygıt yazılımı sürümleri 2022'ye kadar uzanır. Ancak tamamen düzeltilmiş aygıt yazılımları, Noel 2023'ten Ocak ayının sonuna kadar uzanır veya daha da yenidir. Yöneticiler bunları hızlı bir şekilde yüklemelidir. Bunu yapmanın en kolay yolu, yönetici web arayüzünde, “Denetim Masası” – “Sistem” – “Ürün Yazılımı Güncellemesi” altında ve ardından “Canlı Güncelleme” altında “Güncellemeleri kontrol et” seçeneğini seçmektir. Alternatif olarak ürün yazılımı Qnap İndirme Merkezi'nden de indirilebilir.
Qnap'a göre hızlı bir test, sisteminizin savunmasız olup olmadığını belirlemeye yardımcı olur. Cgi betiği NAS'ta bulunabilir /cgi-bin/quick/quick.cgi, o savunmasızdır. Gelen çağrıyı döndürür https://<NAS-IP>:<NAS Web-Port>/cgi-bin/quick/quick.cgi Ancak bir HTTP 404 hata sayfası döndürülürse sistem güvenlik açıklarına karşı savunmasız değildir.
Şubat ayının başında Qnap, komuta kaçakçılığındaki açıkları yeni donanım yazılımı sürümleriyle kapatmıştı. Toplamda, düzeltmeler 30'dan fazla CVE girişini içeriyordu; bunlardan bazıları kritik risk derecelendirmesi almıştı.
(Bilmiyorum)
Haberin Sonu