QNAP cảnh báo lỗ hổng bảo mật trong vòng lặp vô hạn OpenSSL ảnh hưởng đến thiết bị NAS

Lỗ hổng vòng lặp vô hạn OpenSSL

Công ty Đài Loan QNAP trong tuần này đã tiết lộ rằng một số thiết bị lưu trữ gắn liền với mạng (NAS) được chọn bị ảnh hưởng bởi một lỗi mới được tiết lộ gần đây trong thư viện OpenSSL nguồn mở.

“Một lỗ hổng vòng lặp vô hạn trong OpenSSL đã được báo cáo là ảnh hưởng đến một số QNAP NAS nhất định”, công ty cho biết trong một lời khuyên được công bố vào ngày 29 tháng 3 năm 2022. “Nếu bị khai thác, lỗ hổng cho phép kẻ tấn công thực hiện các cuộc tấn công từ chối dịch vụ.”

Được theo dõi là CVE-2022-0778 (điểm CVSS: 7,5), vấn đề liên quan đến lỗi phát sinh khi phân tích cú pháp chứng chỉ để kích hoạt điều kiện từ chối dịch vụ và làm hỏng các thiết bị chưa được vá từ xa.

QNAP, hiện đang điều tra dòng sản phẩm của mình, cho biết nó ảnh hưởng đến các phiên bản hệ điều hành sau –

QTS 5.0.x trở lên QTS 4.5.4 trở lên QTS 4.3.6 trở lên QTS 4.3.4 trở lên QTS 4.3.3 trở lên QTS 4.2.6 trở lên QuTS hero h5.0.x trở lên QuTS hero h4.5.4 trở lên và QuTScloud c5.0.x

Cho đến nay, không có bằng chứng cho thấy lỗ hổng đã được khai thác trong tự nhiên. Mặc dù Nhóm An ninh Máy tính của Ý (CSIRT) đã đưa ra một lời khuyên trái ngược vào ngày 16 tháng 3, nhưng cơ quan này đã làm rõ với The Hacker News rằng họ đã “cập nhật cảnh báo bằng errata corrige.”

Xem tiếp:   14 cuộc tấn công XS-Leaks (Rò rỉ trên nhiều trang web) mới ảnh hưởng đến tất cả các trình duyệt web hiện đại

Lời khuyên được đưa ra một tuần sau khi QNAP phát hành bản cập nhật bảo mật cho QuTS hero (phiên bản h5.0.0.1949 build 20220215 trở lên) để giải quyết lỗ hổng báo cáo đặc quyền cục bộ “Dirty Pipe” ảnh hưởng đến thiết bị của họ. Các bản vá cho hệ điều hành QTS và QuTScloud dự kiến ​​sẽ sớm được phát hành.

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / tấn công mạng Hơn một …