HR EN
Naslovnica » Sigurnosne objave » Višestruke ranjivosti u QNAP proizvodima

Višestruke ranjivosti u QNAP proizvodima

Dana 21. svibnja 2024. godine, tvrtka QNAP objavila je sigurnosno upozorenje kojim se adresiraju višestruke nedostatci, uključujući ranjivost nultog dana (engl. zero-day) u zajedničkoj funkciji QTS-a. Ove ranjivosti omogućuju udaljenim napadačima izvršavanje proizvoljnog kôda.
Preporučuje se žurno ažuriranje zahvaćenih sustava na najnovije dostupne ispravljene verzije radi ublažavanja rizika štetnih posljedica povezanih s navedenim ranjivostima.

Tehnički detalji značajnih ranjivosti otklonjenih ovim ažuriranjem: 
  • Ranjivost CVE-2024-27130 (CVSS ocjena 7.2), proizlazi iz nepravilne provjere unosa u zajedničkoj funkciji QTS-a koja omogućuje udaljenim napadačima izvršavanje proizvoljnog kôda. Napadač može iskoristiti ranjivost putem posebno oblikovanog zahtjeva koji uzrokuje prelijevanje međuspremnika (engl. buffer overflow), što dovodi do udaljenog izvršavanja kôda (engl. remote code execution - RCE), a uspješna eksploatacija zahtijeva pristup određenom parametru.
Zahvaćeni proizvodi:
  • QTS QTS 5.1.x (ispravljena verzija je QTS 5.1.7.2770 build 20240520 i novije)
  • QuTS hero h5.1.x (ispravljena verzija je QuTS hero h5.1.7.2770 build 20240520 i novije)
Preporuke:
Preporučuje se žurno ažuriranje ranjivih proizvoda na najnoviju dostupnu ispravljenu inačicu.

Više informacija moguće je pročitati na poveznicama u nastavku:
[inicijalna objava: 24.05.2024 - 15:51]

Normativni akti


Sigurnosna akreditacija

Standardi sigurnosti

Kriptografska zaštita

Kibernetička sigurnosna certifikacija

Javno regulirane usluge sustava Galileo

© Zavod za sigurnost informacijskih sustava, Fra Filipa Grabovca 3, 10000 Zagreb
Sva prava pridržana