[情報] qnap修補漏洞進度慢 研究機構公開漏洞
傳送門
http://bit.ly/3ULUzGm
資安機構 watchTowr 17 日發表聲明,批評 QNAP 至今仍未修復 1 月向其報告的安全漏洞
,修補速度極其緩慢,為了讓 QNAP 正視問題,watchTowr 決定公開漏洞迫其儘快解決問題
。
據了解,watchTowr 研究 QNAP NAS 的作業系統,包括 QTS、QuTSCloud 和 QTS hero 等共
發現了 15 個嚴重漏洞,其中一個是 2023 年 12 月向 QNAP 公報告,其餘漏洞則是 1 月
初報告,但直至 2024 年 5 月 17 日,只有 4 個漏洞已經被修復,6 個漏洞已被 QNAP 確
認但未有修復,還有 5 個漏洞 QNAP 完全沒有作出公布。
根據資安業界標準,研究人員會提供 90 天的披露期限,在此時間內不會向公眾透露漏洞詳
情,不過 watchTowr 稱 QNAP 得悉漏洞已超過 90 天期限,間期已多次要求延期,對於這
些不存在補救障礙的漏洞,廠方仍然一直拖延處理,研究人員決定公開漏洞迫使其儘快修補
。
watchTowr 目前已經在 GitHub 上公布了 QNAP NAS 上一個無需身份驗證的堆疊溢位漏洞 (
CVE-2024-27130),只要有效的 NAS 使用者共享惡意文件,就可能導致遠端程式碼執行 (RC
E) ,向 QNAP 施壓要求立即正視問題。
QNAP 曾經發生過 Qlocker 及 Deadbolt 等勒索軟件攻擊,按道理應該對關鍵漏洞處理變得
更加積極,然而這次事件讓 watchTowr 感到相當震驚,儘管兩方溝通上 QNAP 表現非常合
作,但 watchTowr 仍會毫不猶豫地譴責那些忽視 90 天披露期限的供應商,修補漏洞是刻
不容緩。
-----
心得:記得之前qnap才出一波大問題,現在又爆出漏洞修補進度緩慢,希望版上用戶一切平
安。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.227.93.199 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Storage_Zone/M.1716372539.A.ABE.html
推
05/22 18:09,
3周前
, 1F
05/22 18:09, 1F
→
05/22 18:35,
3周前
, 2F
05/22 18:35, 2F
推
05/22 18:54,
3周前
, 3F
05/22 18:54, 3F
→
05/22 19:18,
3周前
, 4F
05/22 19:18, 4F
推
05/22 19:56,
3周前
, 5F
05/22 19:56, 5F
推
05/22 23:52,
3周前
, 6F
05/22 23:52, 6F
→
05/23 09:56,
3周前
, 7F
05/23 09:56, 7F
→
05/23 09:57,
3周前
, 8F
05/23 09:57, 8F
→
05/23 09:58,
3周前
, 9F
05/23 09:58, 9F
→
05/23 09:59,
3周前
, 10F
05/23 09:59, 10F
推
05/23 11:21,
3周前
, 11F
05/23 11:21, 11F
推
05/23 18:57,
3周前
, 12F
05/23 18:57, 12F
推
05/24 21:39,
3周前
, 13F
05/24 21:39, 13F
→
05/24 21:39,
3周前
, 14F
05/24 21:39, 14F
→
05/24 21:41,
3周前
, 15F
05/24 21:41, 15F
→
05/26 12:48,
3周前
, 16F
05/26 12:48, 16F