Hafta sonu Qnap, QTS, QuTS Hero ve QuTScloud işletim sistemlerindeki bazı kritik güvenlik açıkları hakkında uyarılar yayınladı. Saldırganlar daha sonra ağ içindeki savunmasız sistemleri tehlikeye atabilir. Ancak ek yazılımlarda da güvenlik açıkları vardır.
Duyuru
Qnap toplam beş güvenlik tavsiyesi yayınladı. Bunlardan en ciddi olanı NAS işletim sistemlerindeki üç güvenlik açığıdır. Uygunsuz kimlik doğrulama, saldırganların sistemlerin güvenliğini aşmasına olanak tanır (CVE-2024-21899, CVSS 9.8“Risk”eleştirmen“). Kayıtlı yöneticiler, bir SQL enjeksiyon deliği (CVE-2024-21901, CVSS) aracılığıyla myQNAPcloud'a kötü amaçlı kod enjekte edebilir 4.7, orta) ve kimliği doğrulanmış kullanıcılar ağ üzerinden komutları çalıştırabilir (CVE-2024-21900, CVSS) 4.3, orta).
Çeşitli Qnap OS güvenlik uyarıları
Hafta sonundan bir başka uyarı da işletim sistemleriyle ilgili. Kayıtlı yöneticiler ağ üzerinden işletim sistemine komutlar ekleyebilir: CVE-2023-34975 değerlendirmesinde CVSS ile Qnap görülüyor 6.6 GİBİ orta CVSS ile NIST sırasında risk 8.8 kritik bir riskin gözden kaçırıldığına inanılıyor ve tehdit yüksek sınıflandırılmıştır. İkinci benzer güvenlik açığı biraz daha düşük CVSS puanına sahiptir (CVE-2023-34980, CVSS) 5.9, orta).
QTS Ağı ve Sanal Anahtar, QuTS Hero ve QuTScloud'da da siteler arası komut dosyası çalıştırma güvenlik açığı mevcuttur (CVE-2023-32969, CVSS 4.9, orta). Qnap ayrıca Android için QuMagie Mobile uygulamasının jackson-databind bileşeninde de çeşitli güvenlik açıkları bildirdi. Ek olarak, Photo Station'daki bir yol geçiş güvenlik açığı, kimliği doğrulanmış yöneticilerin hassas dosyalara veya bilgilere yetkisiz erişim elde etmesine olanak tanır (CVE-2023-47221, CVSS 5.3, orta).
Geçtiğimiz yılın sonundan bu yana, az önce bildirilen güvenlik açıklarını kapatan güncellenmiş bir ürün yazılımı mevcuttur. Qnap sahipleri en az sürüm seviyelerini sağlamalıdır
Yaklaşık bir ay önce Qnap, QTS, QuTS Hero ve QuTScloud NAS işletim sistemlerindeki birçok güvenlik açığını da kapattı. Komutların ağ üzerinden kaçırılmasına izin verdiler.
(Bilmiyorum)
Haberin Sonu
Duyuru
Qnap toplam beş güvenlik tavsiyesi yayınladı. Bunlardan en ciddi olanı NAS işletim sistemlerindeki üç güvenlik açığıdır. Uygunsuz kimlik doğrulama, saldırganların sistemlerin güvenliğini aşmasına olanak tanır (CVE-2024-21899, CVSS 9.8“Risk”eleştirmen“). Kayıtlı yöneticiler, bir SQL enjeksiyon deliği (CVE-2024-21901, CVSS) aracılığıyla myQNAPcloud'a kötü amaçlı kod enjekte edebilir 4.7, orta) ve kimliği doğrulanmış kullanıcılar ağ üzerinden komutları çalıştırabilir (CVE-2024-21900, CVSS) 4.3, orta).
Çeşitli Qnap OS güvenlik uyarıları
Hafta sonundan bir başka uyarı da işletim sistemleriyle ilgili. Kayıtlı yöneticiler ağ üzerinden işletim sistemine komutlar ekleyebilir: CVE-2023-34975 değerlendirmesinde CVSS ile Qnap görülüyor 6.6 GİBİ orta CVSS ile NIST sırasında risk 8.8 kritik bir riskin gözden kaçırıldığına inanılıyor ve tehdit yüksek sınıflandırılmıştır. İkinci benzer güvenlik açığı biraz daha düşük CVSS puanına sahiptir (CVE-2023-34980, CVSS) 5.9, orta).
QTS Ağı ve Sanal Anahtar, QuTS Hero ve QuTScloud'da da siteler arası komut dosyası çalıştırma güvenlik açığı mevcuttur (CVE-2023-32969, CVSS 4.9, orta). Qnap ayrıca Android için QuMagie Mobile uygulamasının jackson-databind bileşeninde de çeşitli güvenlik açıkları bildirdi. Ek olarak, Photo Station'daki bir yol geçiş güvenlik açığı, kimliği doğrulanmış yöneticilerin hassas dosyalara veya bilgilere yetkisiz erişim elde etmesine olanak tanır (CVE-2023-47221, CVSS 5.3, orta).
Geçtiğimiz yılın sonundan bu yana, az önce bildirilen güvenlik açıklarını kapatan güncellenmiş bir ürün yazılımı mevcuttur. Qnap sahipleri en az sürüm seviyelerini sağlamalıdır
- QTS 5.1.4.2596 Derleme 20231128
- QTS 5.1.3.2578 derlemesi 20231110
- QTS 4.5.4.2627 Derleme 20231225
- QuTS Hero h5.1.4.2596 Yapı 20231128
- QuTS Hero h5.1.3.2578 Yapı 20231110
- QuTS Hero h4.5.4.2626 Yapı 20231225
- QuTScloud c5.1.5.2651
- QuTScloud c5.1.0.2498 derlemesi 20230822
- myQNAPcloud 1.0.52 (24/11/2023)
- Fotoğraf istasyonu 6.4.2 (12/15/2023)
- Android için QuMagie Mobil 2.2.0.0126
Yaklaşık bir ay önce Qnap, QTS, QuTS Hero ve QuTScloud NAS işletim sistemlerindeki birçok güvenlik açığını da kapattı. Komutların ağ üzerinden kaçırılmasına izin verdiler.
(Bilmiyorum)
Haberin Sonu