聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
QNAP Systems 发布安全公告,修复了影响 NAS 设备上多个 QTS 操作系统和应用程序版本的两个严重的命令注入漏洞。
第一个漏洞是CVE-2023-23368,CVSS评分为9.8,是一个命令注入漏洞,可被远程攻击者通过网络用于执行命令。受该漏洞影响的QTS版本是QTS 5.0.X和4.5.x、QuTS hero h5.0.x和h4.5.x以及QuTScloud c5.0.1。
修复方案已发布在如下版本中:
QTS 5.0.1.2376 build 20230421 及后续版本
QTS 4.5.4.2374 build 20230416 及后续版本
QuTS hero h5.0.1.2376 build 20230421 及后续版本
QuTS hero h4.5.4.2374 build 20230417 及后续版本
QuTScloud c5.0.1.2374 及后续版本
第二个漏洞是CVE-2023-23369,其严重性评分为9.0,也可被远程攻击者利用,实现和前一个漏洞利用一样的效果。受影响的 QTS 版本包括 5.1.x、4.3.6、4.3.4、4.3.3和4.2.x,Multimedia Console 2.1.x 和1.4.x 以及Media Streaming 附件 500.1.x 和 500.0.x。
修复方案已发布在如下版本:
QTS 5.1.0.2399 build 20230515及后续版本
QTS 4.3.6.2441 build 20230621及后续版本
QTS 4.3.4.2451 build 20230621 及后续版本
QTS 4.3.3.2420 build 20230621 及后续版本
QTS 4.2.6 build 20230621 及后续版本
Multimedia Console 2.1.2 (2023/05/04) 及后续版本
Multimedia Console 1.4.8 (2023/05/05) 及后续版本
Media Streaming add-on 500.1.1.2 (2023/06/12) 及后续版本
Media Streaming add-on 500.0.0.11 (2023/06/16) 及后续版本
要更新 QTS、QuTS hero或QuTScloud,管理员可登录并导航至控制面板>系统>固件更新,并点击“实时更新”下的“检查更新”来下载并安装最新版本。用户也可从QNAP网站手动下载这些更新。
用户可从“App 中心”查找安装并点击“更新”按钮(仅在新版本可用时出现),更新该多媒体控制台。更新 Media Streaming 附件的流程类似,用户也可通过搜索 App Center 的方式定位。
由于NAS 设备通常用于存储数据,因此命令执行缺陷也可能会造成重大影响,因为网络犯罪分子通常会寻找新目标窃取和/或加密敏感数据。攻击者之后可要求受害者支付赎金以换取不泄露数据或进行解密。
过去,QNAP一直是大规模勒索攻击的目标。一年前,Deadbolt 勒索团伙利用一个 0day 漏洞对暴露在公开互联网中的NAS设备进行加密。
因此,建议QNAP用户尽快应用可用的安全更新。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
QNAP 提醒用户修复 NAS 设备中的高危 Linux Sudo 漏洞
QNAP推出新的漏洞奖励计划,覆盖应用、云服务和OS,最高赏金2万美元
原文链接
https://www.bleepingcomputer.com/news/security/qnap-warns-of-critical-command-injection-flaws-in-qts-os-apps/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
413
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
