Qnap colmate des failles de sécurité dans de nombreux produits

Qnap colmate des failles de sécurité dans de nombreux produits

Un grand nombre d’appareils et d’applications de Qnap sont vulnérables à un assortiment de bugs. Qnap lance des mises à jour pour toutes les applications affectées.

De nombreux produits de Qnap sont vulnérables à une utilisation abusive. Le spécialiste des NAS l’annonce lui-même dans un bulletin de sécurité, dans lequel les bugs sont répertoriés. Qnap a entre-temps publié des mises à jour pour colmater les failles de sécurité dans les différents produits.

lire aussi

Qnap TS-AI642 : 6 baies, beaucoup de puissance et un NPU (parfois) utile

La gravité des vulnérabilités varie. Certains bugs permettent un accès non autorisé, d’autres l’injection de commandes et des erreurs de mémoire. Les pirates informatiques pourraient potentiellement exploiter ces bugs pour accéder aux systèmes ou causer des dommages par d’autres moyens.

Aperçu

Étant donné la multitude de bugs et la diversité des produits dans lesquels ils se manifestent, nous les répertorions tous. Nous décrivons le risque ainsi que la version vers laquelle vous devez effectuer la mise à jour pour colmater les failles. Qnap a déjà préparé une mise à jour pour tous les bugs.

  • QVPN Device Client, Qsync Client et Qfinder Pro pour Mac
    Risque : Une condition de concurrence peut permettre aux attaquants locaux d’obtenir un accès non autorisé.
    Résolu dans : QVPN Device Client 2.2.5, Qsync Client 5.1.3 et Qfinder Pro 7.11.1.
  • QTS et QuTS hero
    Risque : Une écriture hors limites peut entraîner une corruption de la mémoire par un attaquant disposant de droits d’administrateur.
    Résolu dans : QTS 5.1.9.2954 et QuTS hero h5.1.9.2954.
  • QuLog Center, Legacy QTS et Legacy QuTS hero
    Risque : Une falsification de requête côté serveur (SSRF) peut entraîner un accès non autorisé aux données de l’application.
    Résolu dans : QuLog Center 1.7.0.829 et 1.8.0.888, QTS 4.5.4.2957 et QuTS hero h4.5.4.2956.
  • QTS et QuTS hero (plusieurs vulnérabilités)
    Risque : L’injection CRLF, l’injection de commandes et les erreurs de mémoire peuvent modifier les données de l’application ou donner accès aux systèmes.
    Résolu dans : QTS 5.2.3.3006 et QuTS hero h5.2.3.3006.
  • File Station 5
    Risque : Accès non autorisé aux fichiers et dossiers.
    Résolu dans : File Station 5.5.6.4741.
  • QuRouter
    Risque : L’injection de commandes peut permettre aux attaquants d’exécuter des commandes arbitraires.
    Résolu dans : QuRouter 2.4.5.032 et 2.4.6.028.
  • Legacy QTS et QuTS hero
    Risque : Exposition d’informations sensibles.
    Résolu dans : QTS 5.2.0.2851 et QuTS hero h5.2.0.2851.
  • Helpdesk
    Risque : Une validation de certificat incorrecte peut entraîner la compromission du système.
    Résolu dans : Helpdesk 3.3.3.
  • HBS 3 Hybrid Backup Sync
    Risque : Un dépassement de tampon peut entraîner une corruption de la mémoire ou des interruptions de processus.
    Résolu dans : HBS 3 Hybrid Backup Sync 25.1.4.952.

Comme vous pouvez le constater, le bulletin couvre de nombreux problèmes. En résumé, en tant qu’utilisateur de Qnap, il est fortement recommandé de vous connecter à votre produit et de vous assurer que tout est à jour.