QNAP sérülékenységek

CH azonosító

CH-12526

Angol cím

QNAP vulnerabilities

Felfedezés dátuma

2015.08.11.

Súlyosság

Magas

Érintett rendszerek

QNAP Systems

Érintett verziók

QNAP NAS

Összefoglaló

A QNAP Turbo NAS szériás eszközök több biztonsági hibát tartalmaznak, amelyek elsősorban jogosulatlan műveletvégrehajtásra, adatszivárogtatásra és adatmanipulációra adhatnak lehetőséget a támadók számára.

Leírás

A fejlesztők az alábbi összetevők, funkciók esetében orvosoltak biztonsági hibákat:

  • jelszómódosítási funkció
  • webes interfész (paraméterellenőrzési hiányosságok)
  • fiókszerkesztés (File Station, Syslog Viewer, System Connection Logs)
  • fájlmegosztás
  • CGI-kezelés
  • Music Station.

A QNAP egyes adattárolói kapcsán egy további rendellenességre is fény derült. Mégpedig arra, hogy az eszközök a titkosítás feloldásakor a titkosításhoz használt kulcsot naplózzák, vagyis az a naplóállományokból kinyerhető.

Megoldás

A gyártó által kiadott (QTS 4.1.4 build 0804) patch telepítése.