作者a9202507 (先认真的就输了。)
看板Storage_Zone
标题[情报] qnap修补漏洞进度慢 研究机构公开漏洞
时间Wed May 22 18:08:57 2024
传送门
http://bit.ly/3ULUzGm
资安机构 watchTowr 17 日发表声明,批评 QNAP 至今仍未修复 1 月向其报告的安全漏洞
,修补速度极其缓慢,为了让 QNAP 正视问题,watchTowr 决定公开漏洞迫其尽快解决问题
。
据了解,watchTowr 研究 QNAP NAS 的作业系统,包括 QTS、QuTSCloud 和 QTS hero 等共
发现了 15 个严重漏洞,其中一个是 2023 年 12 月向 QNAP 公报告,其余漏洞则是 1 月
初报告,但直至 2024 年 5 月 17 日,只有 4 个漏洞已经被修复,6 个漏洞已被 QNAP 确
认但未有修复,还有 5 个漏洞 QNAP 完全没有作出公布。
根据资安业界标准,研究人员会提供 90 天的披露期限,在此时间内不会向公众透露漏洞详
情,不过 watchTowr 称 QNAP 得悉漏洞已超过 90 天期限,间期已多次要求延期,对於这
些不存在补救障碍的漏洞,厂方仍然一直拖延处理,研究人员决定公开漏洞迫使其尽快修补
。
watchTowr 目前已经在 GitHub 上公布了 QNAP NAS 上一个无需身份验证的堆叠溢位漏洞 (
CVE-2024-27130),只要有效的 NAS 使用者共享恶意文件,就可能导致远端程式码执行 (RC
E) ,向 QNAP 施压要求立即正视问题。
QNAP 曾经发生过 Qlocker 及 Deadbolt 等勒索软件攻击,按道理应该对关键漏洞处理变得
更加积极,然而这次事件让 watchTowr 感到相当震惊,尽管两方沟通上 QNAP 表现非常合
作,但 watchTowr 仍会毫不犹豫地谴责那些忽视 90 天披露期限的供应商,修补漏洞是刻
不容缓。
-----
心得:记得之前qnap才出一波大问题,现在又爆出漏洞修补进度缓慢,希望版上用户一切平
安。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 36.227.93.199 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Storage_Zone/M.1716372539.A.ABE.html
1F:推 abc21086999 : 烂得要死 05/22 18:09
2F:→ spfy : 群晖又要涨价惹吗 05/22 18:35
3F:推 shasen1236 : 这样算是0 day吗 05/22 18:54
4F:→ tyf99 : 不重要啦,把硬体规格拿出来吹一下就能卖了 05/22 19:18
5F:推 saimeitetsu : 赶快改名成k(id)Nap吧 05/22 19:56
6F:推 AISC : 在台湾 泄漏的人就要被吉了 05/22 23:52
7F:→ leolarrel : 乡民:"能动就不要动它!" 05/23 09:56
8F:→ leolarrel : 台湾不重视软体,莫此为甚 05/23 09:57
9F:→ leolarrel : 一部分消费者想说买品牌不自己组TrueNAS,就是想说 05/23 09:58
10F:→ leolarrel : 有保固有维护.哈结果被烂公司狠狠打脸 05/23 09:59
11F:推 hellomotogg : watchTowr 会被告吗 05/23 11:21
12F:推 Catlaco : 买NAS不买群晖的 想必资料也不是很重要 没差罗 05/23 18:57
13F:推 diablo4 : 为了让QNAP正视问题 watchTowr公开漏洞迫其解决问题 05/24 21:39
14F:→ diablo4 : 笑了 05/24 21:39
15F:→ diablo4 : 被公开漏洞 现在NAS先当DAS用了 可怕 05/24 21:41
16F:→ fiiox3 : 超时就公开漏洞很正常啊 05/26 12:48
17F:推 twerik : 还好只用S牌的 05/30 08:32