Hoppa yfir valmynd

Alvarlegir veikleikar í QNAP

09. jan. 2024

Tilkynnt var um nokkra alvarlega veikleika í QTS, QuTS hero, Video Station og QuMagie hjá QNAP [1].QNAP (Quality Network Appliance Provider) framleiðir nettengdar geymslur (e. network attached storage (NAS)) og netupptöku lausnir (network video recorder (NVR)). CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður.  

Alvarlegir veikleikar (e. critical)

CVE-2023-39296

Veikleikinn CVE-2023-39296 í QTS og QuTS hero hefur ekki fengið CVSSv3 veikleikastig. Veikleikinn gerir ógnaraðila kleift að yfirskrifa eigindir (e. attributes) með ósamhæfðum eigindum (e. incompatible type) sem getur leitt til hruns á kerfi [2].

CVE-2022-43634

Veikleikinn CVE-2022-43634 með CVSSv3 skor uppá 9.8 er öryggisgalli í Netatalk sem notað er í QTS og QuTS. Veikleikinn gerir ógnaraðila kleift að keyra upp kóða á kerfi án auðkenningar [3].

CVE-2023-41287

Veikleikinn CVE-2023-41287 í Video Station hefur ekki fengið CVSSv3 veikleikastig. Veikleikinn er SQL innspýtingar (e. SQL injection) veikleiki sem gerir ógnaraðila kleift að senda spillikóða yfir netið [4].

CVE-2023-41288

Veikleikinn CVE-2023-41288 í Video Station hefur ekki fengið CVSSv3 veikleikastig. Veikleikinn er skipanna innspýtingar veikleik í stýrikerfinu (e. OS command injection) sem gerir ógnaraðilia kleift að keyra skipanir á strýrikerfi.

CVE-2023-47559

Veikleikinn CVE-2023-47559 í QuMagie hefur ekki fengið CVSSv3 veikleikastig. Veikleikinn er XSS veikleiki sem gerir auðkenndum ógnaraðila kleift að senda spillikóða í gegnum netið [5].

CVE-2023-47560

Veikleikinn CVE-2023-47560 í QuMagie hefur ekki fengið CVSSv3 veikleikastig. Veikleikinn er skipanna innspýtingar veikleik í stýrikerfinu (e. OS command injection) sem gerir auðkenndum ógnaraðilia kleift að keyra skipanir á strýrikerfi.


Eftirfarandi kerfi eru veik fyrir gallanum:

QTS: 5.1.x
QuTS hero: 5.1.x
Video Station: 5.7.x
QuMagie: 2.2.x


Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:

QTS: 5.1.3.2578 build 20231110
QuTS hero: 5.1.3.2578 build 20231110
Video Station: 5.7.2
QuMagie: 2.2.1


Tilvísanir:

[1] https://www.securityweek.com/qnap-patches-high-severity-flaws-in-qts-video-station-qumagie-netatalk-products/
[2] https://www.qnap.com/en/security-advisory/qsa-23-64
[3] https://www.qnap.com/go/security-advisory/qsa-23-22
[4] https://www.qnap.com/go/security-advisory/qsa-23-55
[5] https://www.qnap.com/go/security-advisory/qsa-23-32