ClickCease QNAP Patches : Des failles de gravité moyenne dans l'OTS QuTS corrigées

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

QNAP Patches : Des failles de gravité moyenne dans l'OTS QuTS corrigées

Wajahat Raja

Le 4 juin 2024 - L'équipe d'experts de TuxCare

Dans des mises à jour récentes, QNAP, une importante société taïwanaise spécialisée dans les solutions de stockage en réseau (NAS), a corrigé avec diligence plusieurs vulnérabilités dans ses systèmes d'exploitation QTS et QuTS hero. Ces vulnérabilités sont les suivantes QNAP correctifs sont essentiels pour protéger les appareils NAS contre les menaces potentielles menaces potentielles de cybersécuritéIls renforcent l'engagement de la société en faveur de la sécurité des utilisateurs et de l'intégrité des produits.

 

Vulnérabilités de l'OTS QuTS


Les vulnérabilités, qui affectent les versions QTS 5.1.x et QuTS hero h5.1.x, englobent une série de problèmes de gravité moyenne. Il s'agit notamment de

 

  • CVE-2024-21902 : Vulnérabilité dans l'attribution de permissions incorrectes, permettant potentiellement un accès non autorisé à des ressources critiques.
  • CVE-2024-27127 : Vulnérabilité double libre, ouvrant des voies pour l'exécution de code arbitraire.


Corrections opportunes - QNAP Patches


Reconnaissant la nature critique de ces failles exploitables
failles exploitablesQNAP a rapidement déployé des correctifs QNAP avec les versions QTS 5.1.7.2770 et QuTS hero h5.1.7.2770. Ces mises à jour du micrologicielCes mises à jour de firmware, publiées le 20 mai 2024, atténuent efficacement les vulnérabilités identifiées. La découverte et le signalement de ces failles par Aliz Hammond de WatchTowr Labs soulignent les efforts de collaboration entre les chercheurs en sécurité et les acteurs de l'industrie pour préserver l'intégrité des systèmes.


Corrections QNAP : Détails de la vulnérabilité


Une vulnérabilité notable, CVE-2024-27130, a mis en évidence l'utilisation dangereuse de la fonction "strcpy" dans le script share.cgi, potentiellement exploitée par le biais du paramètre "ssid". Alors que la sécurité du stockage en réseau de QNAP
de QNAP, les dispositifs de sécurité du stockage en réseau de QNAP utilisent l'ASLR (Address Space Layout Randomization) dans les versions QTS 4.x et 5.x, ce qui atténue les risques d'exploitation, l'installation rapide des correctifs reste impérative.


Répondre aux préoccupations du passé


Cette approche proactive fait suite à une divulgation antérieure par une société de cybersécurité, détaillant 15 vulnérabilités, y compris des risques de contournement d'authentification et d'exécution de code. QNAP a rapidement résolu ces problèmes le 25 avril 2024, en réponse aux préoccupations de la communauté.


Améliorations en cours


Malgré ces efforts, des défis persistent, comme le montre la résolution tardive de CVE-2024-27131, identifiée comme un problème de spécification de l'interface utilisateur au sein du QuLog Center. QNAP travaille activement à résoudre ce problème dans la prochaine version QTS 5.2.0, soulignant ainsi son engagement pour une
sécurité du firmware firmware.


Prévention des cyberattaques


La dynamique de collaboration entre QNAP et la communauté de la cybersécurité joue un rôle essentiel dans le renforcement de la sécurité des produits. WatchTowr Labs, dans le cadre de son engagement en faveur de la transparence et de la responsabilité, a divulgué publiquement les
vulnérabilités du système après de longues périodes de coordination, en insistant sur la nécessité d'y remédier rapidement.


Atténuation des menaces


En réponse à la
En réponse aux problèmes de coordination QNAP a exprimé ses regrets et a présenté un calendrier révisé pour la résolution des vulnérabilités. À l'avenir, l'entreprise s'engage à résoudre les vulnérabilités de gravité élevée ou critique dans un délai de 45 jours, et les problèmes de gravité moyenne dans un délai de 90 jours. Cette attitude proactive reflète l'engagement de QNAP à améliorer les pratiques exemplaires en matière de sécurité. les meilleures pratiques en matière de sécurité et à favoriser un écosystème numérique plus sûr pour les utilisateurs du monde entier.


Recommandations de l'utilisateur - Vulnerability Patching


Garantir une
protection des données est primordiale dans le paysage numérique actuel. Compte tenu des ramifications potentielles des vulnérabilités des NAS, il est fortement conseillé aux utilisateurs de mettre à jour leurs systèmes rapidement. En installant les dernières versions de QTS et QuTS hero, les utilisateurs peuvent atténuer de manière proactive les risques de violation de données et garantir la sécurité des appareils NAS.


Conclusion


En conclusion, la réponse rapide de QNAP aux vulnérabilités identifiées souligne son engagement inébranlable envers la sécurité des utilisateurs et l'excellence de ses produits. En collaborant avec des experts en cybersécurité et en publiant des correctifs en temps voulu, QNAP s'efforce de maintenir les normes de sécurité les plus élevées dans ses solutions NAS, permettant ainsi aux utilisateurs de naviguer dans le paysage numérique en toute confiance et tranquillité d'esprit. Rester informé des
mises à jour de sécurité de QNAP ainsi que la mise en œuvre de mesures de cybersécurité robustes sont essentielles pour maintenir l'intégrité de votre système NAS.

Les sources de cet article comprennent des articles dans The Hacker News et Decipher.

Résumé
QNAP Patches : Des failles de gravité moyenne dans l'OTS QuTS corrigées
Nom de l'article
QNAP Patches : Des failles de gravité moyenne dans l'OTS QuTS corrigées
Description
Restez en sécurité avec les derniers correctifs QNAP pour de multiples failles dans l'OTS QuTS. Les conseils d'experts de Tux Care garantissent la protection de votre NAS.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information