Qnap dicht beveiligingslekken in tal van producten

Qnap dicht beveiligingslekken in tal van producten

Een heleboel toestellen en applicaties van Qnap zijn kwetsbaar voor een allegaartje aan bugs. Qnap lanceert updates voor alle getroffen toepassingen.

Heel wat producten van Qnap zijn kwetsbaar voor misbruik. Dat laat de NAS-specialist zelf weten in een beveiligingsbulletin, waarin de bugs worden opgelijst. Qnap heeft intussen updates uitgebracht om de beveiligingslekken in de verschillende producten te dichten.

lees ook

Qnap TS-AI642 review: 6 bays, genoeg pk’s en (soms) nuttige NPU

De ernst van de kwetsbaarheden varieert. Sommige bugs maken ongeautoriseerde toegang mogelijk, andere commando-injectie en geheugenfouten. Hackers kunnen de bugs mogelijks misbruiken om zich toegang te verschaffen tot systemen of op andere manieren schade te veroorzaken.

Overzicht

Gezien het veelvoud aan bugs en de verscheiden producten waarin ze zich voordoen, lijsten we alles even op. We omschrijven het risico alsook de versie waarnaar je moet updaten om de lekken te dichten. Voor alle bugs heeft Qnap intussen een update klaar.

  • QVPN Device Client, Qsync Client en Qfinder Pro voor Mac
    Risico: Een raceconditie kan lokale aanvallers in staat stellen ongeautoriseerde toegang te verkrijgen.
    Opgelost in: QVPN Device Client 2.2.5, Qsync Client 5.1.3 en Qfinder Pro 7.11.1.
  • QTS en QuTS hero
    Risico: Een out-of-bounds write kan leiden tot geheugenbeschadiging door een aanvaller met beheerdersrechten.
    Opgelost in: QTS 5.1.9.2954 en QuTS hero h5.1.9.2954.
  • QuLog Center, Legacy QTS en Legacy QuTS hero
    Risico: Een server-side request forgery (SSRF) kan leiden tot ongeautoriseerde toegang tot applicatiegegevens.
    Opgelost in: QuLog Center 1.7.0.829 en 1.8.0.888, QTS 4.5.4.2957 en QuTS hero h4.5.4.2956.
  • QTS en QuTS hero (meerdere kwetsbaarheden)
    Risico: CRLF-injectie, commando-injectie en geheugenfouten kunnen applicatiegegevens wijzigen of toegang geven tot systemen.
    Opgelost in: QTS 5.2.3.3006 en QuTS hero h5.2.3.3006.
  • File Station 5
    Risico: Ongeautoriseerde toegang tot bestanden en mappen.
    Opgelost in: File Station 5.5.6.4741.
  • QuRouter
    Risico: Commando-injectie kan aanvallers in staat stellen willekeurige opdrachten uit te voeren.
    Opgelost in: QuRouter 2.4.5.032 en 2.4.6.028.
  • Legacy QTS en QuTS hero
    Risico: Blootstelling van gevoelige informatie.
    Opgelost in: QTS 5.2.0.2851 en QuTS hero h5.2.0.2851.
  • Helpdesk
    Risico: Onjuiste certificaatvalidatie kan leiden tot compromittering van het systeem.
    Opgelost in: Helpdesk 3.3.3.
  • HBS 3 Hybrid Backup Sync
    Risico: Een buffer overflow kan leiden tot geheugenbeschadiging of procesonderbrekingen.
    Opgelost in: HBS 3 Hybrid Backup Sync 25.1.4.952.

Zoals je ziet, omvat het bulletin heel wat problemen. Samengevat doe je er als Qnap-gebruiker goed aan om in te loggen op je product, en je ervan te vergewissen dat alles up to date is.