Відомий виробник NAS QNAP повідомляє про дві дуже небезпечні вразливості у своїх мережевих продуктах і ще одну вразливість у клієнті пристрою VPN для Windows. Через прогалини можлива віддалена атака - доступні відповідні патчі.
Уразливості, оголошені QNAP, стосуються багатьох програм, які використовуються в мережевих продуктах. Служби також працюють і працюють у великих системах NAS для сектору МСП. Таким чином, окрім невеликих, приватних систем NAS або камер, багато продуктів компанії також страждають від прогалин у безпеці.
Можливе віддалене захоплення для DoS-атаки
QNAP повідомляє, що вразливість, пов’язана з неконтрольованим споживанням ресурсів, впливає на кілька операційних систем QNAP. Якщо вразливість використовується, віддалені користувачі можуть розпочати атаку на відмову в обслуговуванні (DoS). Уразливість позначена як CVE-2022-27600. Точне значення CVSS невідоме, але має бути в діапазоні від 7.0 до 8.9 для дуже небезпечного.
Цю вразливість уже виправлено в таких версіях, доступних для оновлення:
- QTS 5.0.1.2277 Build 20230112 і пізніших версій
- QTS 4.5.4.2280 Build 20230112 і пізніших версій
- QuTS hero h5.0.1.2277 збірка 20230112 і новіша версія
- QuTS hero h4.5.4.2374 збірка 20230417 і новіша версія
- QuTScloud c5.0.1.2374 збірка 20230419 і новіша версія
- QVR Pro Appliance 2.3.1.0476 і новіших версій
Ще одна вразливість у клієнті пристрою QVPN
Крім того, QNAP повідомляє про вразливість у своєму клієнті пристрою QVPN для Windows. Уразливість також вважається дуже небезпечною відповідно до CVE-2022-27595. Там завантаження бібліотек є небезпечним і може вплинути на пристрої, на яких працює клієнт пристрою QVPN для Windows. Якщо використовувати цю вразливість, вона може дозволити локально автентифікованим користувачам виконувати код, небезпечно завантажуючи бібліотеку. Уразливість не впливає на клієнт пристрою QVPN для macOS, Android та iOS.
Оновлення також доступне для цієї прогалини:
Клієнт пристрою QVPN для Windows версії 2.0.0.1316 і вище
Більше на QNAP.com