Vous avez un NAS QNAP ? Mettez-le à jour maintenant !

Par Nerces, Spécialiste PC & Gaming.

Publié le 24 juin 2022 à 09h00

S'il est connecté en permanence au réseau, un NAS se doit d'être suivi de manière très régulière par son administrateur.

Ces derniers mois, QNAP a connu des tourments « sécuritaires » avec ses NAS. Le fabricant annonce la correction d'un bug relativement ancien, mais dont le danger n'a été démontré que récemment.

Un vieux bug tout récemment exploité

Lié au PHP dans le cadre du FastCGI Process Manager, ledit bug laisse le champ libre à des usagers malintentionnés. En effet, il leur est possible de manipuler le FastCGI Process Manager afin d'écrire au-delà des tampons alloués au sein de l'espace réservé aux données du protocole FCGI.

Ce faisant, il devient possible d'exécuter du code à distance et il n'existe alors plus aucune barrière sur le NAS. Reconnu par QNAP, le bug affecte les versions de QTS 5.0.x et supérieures de même que les QTS 4.5.x et supérieures. Les QTS Hero h5.0.x et supérieures sont aussi touchées.

Il est donc plus que conseiller de mettre à jour sans trop tarder votre NAS QNAP : le fabricant recommande le déploiement du dernier micrologiciel disponible pour se prémunir de toute menace. Nous vous invitons à le télécharger depuis votre NAS ou depuis le site officiel du constructeur.

Source : Tom's Hardware

Par Nerces

Spécialiste PC & Gaming

Tombé dans le jeu vidéo à une époque où il fallait une belle imagination pour voir ici un match de foot, là un combat de tanks dans ces quelques barres représentées à l'écran, j'ai suivi toutes les évolutions depuis quarante ans. Fidèle du PC, mais adepte de tous les genres, je n'ai du mal qu'avec les JRPG. Sinon, de la stratégie tour par tour la plus aride au FPS le plus spectaculaire en passant par les simulations sportives ou les jeux musicaux, je me fais à tout... avec une préférence pour la gestion et les jeux combinant plusieurs styles. Mon panthéon du jeu vidéo se composerait de trois séries : Elite, Civilization et Max Payne.

Articles de Nerces

NAS

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (4)

dimebag

Ca fait pas mal de jours que la dernière « alerte » et la dernière maj contenant pas mal de mise à jour de sécurité est sortie

Clubic n’a pas l’air très en avance sur cette info

Stef_R

QuanT à faire…

sources

La dernière build date de début juin, le 8 exactement, et c’est la QTS 5.0.0.2055 build 20220531 : https://www.qnap.com/fr-fr/release-notes/qts/5.0.0.2055/20220531
Rien de bien extraordinaire par rapport à d’habitude. Mais il est clair qu’à l’heure actuelle il vaut mieux surveiller les MAJ de tout matériel connecté.

bmustang

même la beta 5.0.1.2034 est concernée puisqu’on parle de 5.0.X ? Voici ce que dit qnap :

A vulnerability has been reported to affect PHP versions 7.1.x below 7.1.33, 7.2.x below 7.2.24, and 7.3.x below 7.3.11 with improper nginx configuration. If exploited, the vulnerability allows attackers to gain remote code execution.

For the vulnerability to be exploited, both nginx and php-fpm must be running. While QTS, QuTS hero, and QuTScloud do not have nginx installed by default, your QNAP NAS may still be affected if you have installed and are running nginx and php-fpm on your NAS.

If your QNAP NAS is running nginx and php-fpm, the vulnerability affects the following QNAP operating system versions:
QTS 5.0.x
QTS 4.5.x
QuTS hero h5.0.x
QuTS hero h4.5.x
QuTScloud c5.0.x

We have already fixed this vulnerability in the following OS versions:
QTS 5.0.1.2034 build 20220515 and later
QuTS hero h5.0.0.2069 build 20220614 and later

We will release security updates for the remaining OS versions as soon as possible.