2024 - QNAP corrige une autre vulnérabilité, mettez à jour votre NAS dès que possible

Le spécialiste NAS QNAP, dont nous avons mentionné les tribulations précédemment dans ces pages, a publié un avis de sécurité de haute gravité (s’ouvre dans un nouvel onglet) avertissement d’une faille qui peut permettre à des attaquants d’obtenir des privilèges d’exécution de code à distance sur un périphérique de stockage affecté.

(Crédit image : QNAP)

L’insecte (s’ouvre dans un nouvel onglet) est en PHP et affecte les boîtiers NAS exécutant QTS 5.0.x et versions ultérieures, QTS 4.5.x et versions ultérieures, QuTS hero h5.0.x et versions ultérieures, QuTS hero h4.5.x et versions ultérieures, et QuTScloud c5.0.x et plus tard. Il a déjà été corrigé dans QTS 5.0.1.2034 build 20220515 et versions ultérieures, ainsi que QuTS hero h5.0.0.2069 build 20220614 et versions ultérieures.

Le problème semble être dans la partie de PHP qui traite de FPM et n’est pas une nouvelle vulnérabilité. Il est connu en théorie depuis trois ans, mais ce n’est que maintenant qu’il a été démontré qu’il était exploitable. FPM est un gestionnaire de processus FastCGI auquel un serveur Web transmet des demandes et qui peut générer et tuer des processus PHP selon les besoins. S’il est configuré d’une manière particulière, ce FPM peut être manipulé pour écrire des données au-delà des tampons alloués dans l’espace réservé aux données du protocole FCGI, ouvrant ainsi la possibilité d’exécution de code à distance.

Notez que cela est totalement différent de la récente expérience malheureuse de QNAP avec le rançongiciel Deadbolt (s’ouvre dans un nouvel onglet). La raison pour laquelle QNAP, parmi tous les fournisseurs de NAS, semble avoir tant de problèmes est qu’il est à la fois très populaire et adopte une approche consciencieuse pour émettre des avis de sécurité et déployer des correctifs. Étant donné que la vulnérabilité n’a pas encore été corrigée pour tous les systèmes d’exploitation QNAP, le statut « Correction » lui a été attribué.

En attendant, QNAP recommande aux utilisateurs de mettre à jour le dernier micrologiciel pour leur boîte de stockage. Cela peut être fait dans le panneau de configuration du système, en utilisant le panneau de mise à jour en direct ou en téléchargeant un fichier de mise à jour directement depuis le site Web de QNAP (s’ouvre dans un nouvel onglet).

Source-138

QNAP corrige une autre vulnérabilité, mettez à jour votre NAS dès que possible

Latest

Indices et solutions pour le Wordle du 26 novembre 2023, numéro 1256

Marine Le Pen avertit d’un possible renversement du gouvernement français

Titre : Marlene Amstad, Ueli Maurer, Thomas Jordan ou Karin Keller-Sutter : Qui risque le plus avec la publication du rapport PUK ?

NCIS : Les origines de Gibbs et son affrontement imminent avec Pedro Hernandez, révélations d’Austin Stowell sur le calendrier.

Qui se sépare de qui dans la saison 2 de Queens Court ? Mon choix pour mon bien-être personnel

Coupe du Monde de Socca à Oman : Les ambitions de Christoph Kramer sur le terrain réduit

Nikki Garcia efface tous ses posts Instagram après son divorce avec Artem Chigvintsev de ‘DWTS’

Titre : La condescendance de Band Aid : doit-on fermer les banques alimentaires et les magasins de charité ?