详细内容或原文请订阅后点击阅览
QNAP 修复专有 NAS 解决方案中的漏洞
看来公司已经决定对安全问题采取更负责任的态度
来源:安全实验室新闻频道昨天我们还没来得及发布 Watchtower Labs 研究人员指责 QNAP 公司对负责任的漏洞披露反应迟缓的消息,今天就知道这家 NAS 巨头似乎已经走了正确的道路,发布了 5 个修复程序受影响的 QTS 和 QuTS Hero 操作系统。
发布昨天的新闻 威联通 网络存储 一次发布 5 个更正已修复的漏洞:
- CVE-2024-21902。 权限分配不正确,允许经过身份验证的用户通过网络读取或修改资源。 CVE-2024-27127。 允许通过网络执行任意代码的双重释放漏洞。 CVE-2024-27128、CVE-2024-27129 和 CVE-2024-27130。 一组缓冲区溢出漏洞,可能允许通过网络执行任意代码。
所有漏洞都需要 NAS 设备上的帐户才能利用;所有漏洞均已在 QTS 5.1.7.2770 和 QuTS Hero h5.1.7.2770 更新中修复。发现并报告这些问题的研究人员是 WatchTowr Labs 的 Alitz Hammond,他的努力得到了 QNAP 的认可。
WatchTowr 实验室 威联通在一份声明中表示。QNAP 指出,QTS 4.x 和 5.x 的所有版本都启用了 ASLR,因此很难利用此漏洞。
披露了15个漏洞的信息,