image

QNAP dicht beveiligingslekken in firmware NAS-systemen

donderdag 8 augustus 2019, 11:20 door Redactie, 2 reacties

QNAP heeft updates uitgebracht voor de QTS-firmware die op de NAS-systemen van de fabrikant draait. De updates verhelpen drie kwetsbaarheden waardoor een aanvaller accountgegevens van de gebruiker had kunnen aanpassen of "onverwachte parameters" in systeembestanden had kunnen injecteren.

De derde kwetsbaarheid was te gebruiken om onverwachte content via XML-code te injecteren. De ernst van de beveiligingslekken is door QNAP als "High" bestempeld. Volgens de fabrikant zijn alle NAS-systemen die QTS 4.3.6 en eerder draaien kwetsbaar. Gebruikers krijgen dan ook het advies om naar een nieuwere versie te updaten. Dit kan via de updatefunctie van QTS.

Reacties (2)
08-08-2019, 14:34 door Anoniem
De opmerking over 4.3.6 hierboven en eerder is niet juist:
Some reported QTS vulnerabilities may affect QNAP NAS devices running QTS 4.2.6 and earlier versions. Below are the details for each CVE.
CVE-2019-7189: If exploited, the vulnerability can be used to modify user account information.
CVE-2019-7190: If exploited, the vulnerability can be used to inject unexpected content through XML code.
CVE-2019-7191: If exploited, the vulnerability can be used to inject unexpected parameters to system files.
We have already fixed these issues in the following QTS versions:
QTS 4.4.1: build 20190626 and later
QTS 4.4.0: build 20190627 and later
QTS 4.3.6: build 20190704 and later
QTS 4.3.4: build 20190701 and later
QTS 4.3.3: build 20190629 and later
QTS 4.2.6: build 20190629 and later
Recommendation
To fix these vulnerabilities, we recommend updating QTS to the latest version.
09-08-2019, 14:01 door Anoniem
Can confirm. Draai 4.3.6.0993 en er is GEEN update volgens QNAP. Timestamp: 09-08-2019 13:57:00
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.