Nieuws
image

QNAP waarschuwt voor kritieke kwetsbaarheden in NAS-besturingssysteem

vrijdag 8 maart 2024, 17:19 door Redactie, 8 reacties
Laatst bijgewerkt: 11-03-2024, 13:45

Fabrikant van NAS-systemen QNAP waarschuwt gebruikers voor kritieke kwetsbaarheden in de verschillende NAS-besturingssystemen die het biedt. Het gaat om drie beveiligingslekken aangeduid als CVE-2024-21899, CVE-2024-21900 en CVE-2024-21901. De eerste betreft een kwetsbaarheid in de authenticatie waardoor een aanvaller de veiligheid van het systeem kan compromitteren. De overige twee beveiligingslekken maken het mogelijk om commando's op het NAS-systeem uit te voeren of kwaadaardige code te injecteren. Verdere details zijn niet door QNAP gegeven.

De beveiligingslekken zijn aanwezig in QTS, QuTS hero, QuTScloud en myQNAPcloud, de besturingssystemen die op de NAS-systemen van QNAP draaien. Gebruikers wordt aangeraden om te updaten naar QTS 5.1.3.2578 build 20231110, QTS 4.5.4.2627 build 20231225, QuTS hero h5.1.3.2578 build 20231110, QuTS hero h4.5.4.2626 build 20231225, QuTScloud c5.1.5.2651 en myQNAPcloud 1.0.52 (2023/11/24) of nieuwere versies hiervan.

Reacties (8)
Reageer met quote
09-03-2024, 11:44 door Drs Security en Privacy
Dat QNap nog bestaat, gezien de enorme hoeveelheden aan security issues over de afgelopen jaren, zegt meer over de klanten van dit spul dan over het bedrijf zelf.
Want als die klanten maar een beetje security bewust waren geweest, was deze toko al lang omgevallen.
Reageer met quote
09-03-2024, 12:43 door Anoniem
Door Drs Security en Privacy: Dat QNap nog bestaat, gezien de enorme hoeveelheden aan security issues over de afgelopen jaren, zegt meer over de klanten van dit spul dan over het bedrijf zelf.
Want als die klanten maar een beetje security bewust waren geweest, was deze toko al lang omgevallen.

Het tegendeel is waar. Ze zijn eenvoorbeeld vwb security beleid.

Anderen doen niets met security lekken of verzwijgen het. Dat is pas fout.
Reageer met quote
09-03-2024, 13:35 door Anoniem
Niks mis met qnap.
Firmware support tot wel 10 jaar.

Ze hadden wat pech met deadbolt.

Huidige nas is een qnap en de volgende wordt weer een qnap.
Reageer met quote
09-03-2024, 15:13 door Anoniem
Je ziet steeds vaker dat fabrikanten updates uitbrengen vanwege bugs in 3-party spullen, niet eens zozeer in de 'eigen' software. Open source is een ramp wat dat betreft, zukke bagger. Ik ken wel leveranciers (anders dan QNAP) die elke maand patches uitbrengen voor tientallen producten, bijvoorbeeld omdat er ***alweer*** een nieuwe versie van SSL is. En waar stond de eerste S ook al weer voor ..... ?
Reageer met quote
09-03-2024, 19:59 door repmeer
Door Drs Security en Privacy: Dat QNap nog bestaat, gezien de enorme hoeveelheden aan security issues over de afgelopen jaren, zegt meer over de klanten van dit spul dan over het bedrijf zelf.
Want als die klanten maar een beetje security bewust waren geweest, was deze toko al lang omgevallen.

Wat je eigenlijk zegt dat bedrijven die waarschuwen voor securitylekken hun beveiliging niet op orde hebben. Bovendien hebben ze voor deze security issues al updates.
Reageer met quote
11-03-2024, 08:57 door Bitje-scheef
Je ziet steeds vaker dat fabrikanten updates uitbrengen vanwege bugs in 3-party spullen, niet eens zozeer in de 'eigen' software. Open source is een ramp wat dat betreft, zukke bagger. Ik ken wel leveranciers (anders dan QNAP) die elke maand patches uitbrengen voor tientallen producten, bijvoorbeeld omdat er ***alweer*** een nieuwe versie van SSL is

Met open-source is het uitkijken of het product of de code wel -mature- is. Als het eenmaal die status heeft bereikt is, doet het in normale gevallen niet snel onder voor closed-source. Net als bij closed-source niet te snel instappen voor productie omgevingen.
Reageer met quote
11-03-2024, 10:44 door Anoniem
Door Anoniem: Je ziet steeds vaker dat fabrikanten updates uitbrengen vanwege bugs in 3-party spullen, niet eens zozeer in de 'eigen' software. Open source is een ramp wat dat betreft, zukke bagger. Ik ken wel leveranciers (anders dan QNAP) die elke maand patches uitbrengen voor tientallen producten, bijvoorbeeld omdat er ***alweer*** een nieuwe versie van SSL is. En waar stond de eerste S ook al weer voor ..... ?

Dat ligt denk ik meer aan 3 en 4 letterige afkortingen die de wereld zien als speeltuin en nooit hun speelgoed opruimen..
En als er dan iemand over hun speelgoed struikelt is het een software foutje of heeft de hond het gedaan (China, rusland, Cuba, Noord Korea, Iran).
Reageer met quote
11-03-2024, 11:04 door Anoniem
Door Drs Security en Privacy: Dat QNap nog bestaat, gezien de enorme hoeveelheden aan security issues over de afgelopen jaren, zegt meer over de klanten van dit spul dan over het bedrijf zelf.
Want als die klanten maar een beetje security bewust waren geweest, was deze toko al lang omgevallen.
Het is makkelijk napraten zonder dat je blijkbaar zelf ervaring hebt met QNAP. Inmiddels heeft hero release h5.1.5.2647 van 18 januari. Dus twee en een halve maand waren ze al een paar versies verder (met nog veel meer security fixes) dan de hiervoor genoemde releases. Het lijkt er bijna op dat dit soort berichten door trollen de wereld in wordt geholpen. N.B, de link van het oorspronkelijke bericht bestaat niet meer?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search