“QNAP” Update Patch เพื่อแก้ไขช่องโหว่ร้ายแรง

QNAP ได้ออก Update Patch เพื่อแก้ไขช่องโหว่ร้ายแรงที่ส่งผลกับอุปกรณ์ NAS ที่ใช้ระบบปฏิบัติการณ์ QES, QTS และ QuTS hero ซึ่งช่องโหว่ที่ QNAP ทำการแก้ไขประกอบด้วย

  • CVE-2020-2503: Stored cross-site scripting QES vulnerability — Hacker สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อทำการแทรก Code ที่อันตรายจากระยะไกลลงใน File Station ได้
  • CVE-2020-2504: Absolute path traversal QES vulnerability — Hacker สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อทำการ Traverse files ใน File Station ได้
  • CVE-2020-2505: QES vulnerability — Hacker สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อทำการขโมยข้อมูลด้วยการสร้างข้อความแสดงข้อผิดพลาด
  • CVE-2016-6903: Command injection QES vulnerability — Hacker สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อ Run Command ใน Ishell
  • CVE-2020-2499: Hard-coded password QES vulnerability — Hacker สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อทำการ Login เข้าสู่ระบบด้วยรหัสผ่านแบบ Hard-coded
  • CVE-2020-25847: Command injection (QTS and QuTS hero) vulnerability — สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อ Run Command บน Application ที่ถูกบุกรก
    • QNAP ได้ทำการแก้ไขช่องโหว่เหล่านี้แล้วใน QES 2.1.1 Build 20201006, QTS 4.5.1.1495 build 20201123 และ QuTS hero h4.5.1.1491 build 20201119

          หากต้องการณ์ Update Patch สามารถทำตามขั้นตอนได้ดังนี้

  1. เข้าสู่ระบบ QES, QTS หรือ QuTS hero ด้วยสิทธิ์ Administrator
  2. ไปที่ Control Panel > System > Firmware Update.
  3. คลิก Check for Update. QES, QTS, or QuTS hero เพื่อทำการดาวน์โหลดและติดตั้ง Update Patch ล่าสุดของอุปกรณ์

          นอกจากนี้ยังสามารถดาวน์โหลดและติดตั้ง Patch ได้ด้วยตนเองจาก Support Download Center บนเว็บไซต์ของ QNAP

ที่มา : https://www.bleepingcomputer.com/news/security/qnap-fixes-high-severity-qts-qes-and-quts-hero-vulnerabilities/

Share

Add Your Comments

Your email address will not be published. Required fields are marked *