Güncellenmiş üretici yazılımı ile Qnap, QTS ve QuTS hero işletim sistemlerine sahip ağ depolama cihazlarındaki kritik bir güvenlik açığını kapatır. Şirket, saldırganların güvenlik açığı aracılığıyla kendi kodlarını enjekte edip çalıştırabileceğini açıklıyor.
Güvenlik açığıyla ilgili daha fazla ayrıntı, Qnap’ın güvenlik danışma belgesinde eksik. Ancak güvenlikle ilgili hata, NAS işletim sistemleri QTS 5.0.1 ve QuTS hero h5.0.1’i etkiler. Üretici ciddiyeti şu şekilde sınıflandırır: kritik a, CVSS puanı ile 9.8.
Güvenlik açığı için CVE girişine CVE-2022-27596 numarası verildi. CVE girişi, güvenlik açığının bir SQL komutunda kullanılan belirli öğelerin yetersiz filtrelenmesinden kaynaklandığını belirtir. Açıklama, Ortak Zayıflık Sayımı (CWE) şemasına dayanmaktadır, güvenlik açığı tipine CWE-89 numarası verilmiştir. Güvenlik bildirimi, kötü niyetli aktörlerin güvenlik açığından nasıl yararlanabileceğine ilişkin belirli bir saldırı vektörü de belirtmez.
Qnap NAS: Güncellemeler
Sürüm güncellemeleri QTS 5.0.1.2234 yapı 20221201 örneğin QuTS kahramanı h5.0.1.2248 Derleme 20221215 ve daha yenileri güvenlik sızıntısını tıkamak için tasarlanmıştır. Yöneticiler, Qnap’ın destek durumu web sitesinde NAS modellerini arayarak bunları bulabilir.
Alternatif olarak, yöneticiler, “Güncellemeyi Kontrol Et” seçeneğine tıklayarak “Canlı Güncelleme” altındaki “Sistem”-“Firmware Güncellemesi” altındaki Kontrol Panelinde doğrudan etkilenen cihazlarda ürün yazılımı güncellemesini arayabilir ve hemen yüklemesini sağlayabilir. Qnap kısa bir süre önce, DeadBolt fidye yazılımının yayıldığı, isteğe bağlı olarak yüklenebilen Photo Station bileşenindeki kritik bir güvenlik açığı nedeniyle dikkatleri üzerine çekti.
(dmk)
Haberin Sonu
Güvenlik açığıyla ilgili daha fazla ayrıntı, Qnap’ın güvenlik danışma belgesinde eksik. Ancak güvenlikle ilgili hata, NAS işletim sistemleri QTS 5.0.1 ve QuTS hero h5.0.1’i etkiler. Üretici ciddiyeti şu şekilde sınıflandırır: kritik a, CVSS puanı ile 9.8.
Güvenlik açığı için CVE girişine CVE-2022-27596 numarası verildi. CVE girişi, güvenlik açığının bir SQL komutunda kullanılan belirli öğelerin yetersiz filtrelenmesinden kaynaklandığını belirtir. Açıklama, Ortak Zayıflık Sayımı (CWE) şemasına dayanmaktadır, güvenlik açığı tipine CWE-89 numarası verilmiştir. Güvenlik bildirimi, kötü niyetli aktörlerin güvenlik açığından nasıl yararlanabileceğine ilişkin belirli bir saldırı vektörü de belirtmez.
Qnap NAS: Güncellemeler
Sürüm güncellemeleri QTS 5.0.1.2234 yapı 20221201 örneğin QuTS kahramanı h5.0.1.2248 Derleme 20221215 ve daha yenileri güvenlik sızıntısını tıkamak için tasarlanmıştır. Yöneticiler, Qnap’ın destek durumu web sitesinde NAS modellerini arayarak bunları bulabilir.
Alternatif olarak, yöneticiler, “Güncellemeyi Kontrol Et” seçeneğine tıklayarak “Canlı Güncelleme” altındaki “Sistem”-“Firmware Güncellemesi” altındaki Kontrol Panelinde doğrudan etkilenen cihazlarda ürün yazılımı güncellemesini arayabilir ve hemen yüklemesini sağlayabilir. Qnap kısa bir süre önce, DeadBolt fidye yazılımının yayıldığı, isteğe bağlı olarak yüklenebilen Photo Station bileşenindeki kritik bir güvenlik açığı nedeniyle dikkatleri üzerine çekti.
(dmk)
Haberin Sonu