-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheden verholpen in QNAP QTS en QTS Hero
Advisory ID : NCSC-2024-0361
Versie : 1.00
Kans : medium
CVE ID : CVE-2023-34974, CVE-2023-34979, CVE-2023-39298,
CVE-2024-21906, CVE-2024-32763, CVE-2024-32771,
CVE-2024-38641
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : high
Buffer Copy without Checking Size of Input ('Classic
Buffer Overflow')
Improper Neutralization of Special Elements used in a
Command ('Command Injection')
Improper Restriction of Excessive Authentication
Attempts
Missing Authorization
Improper Neutralization of Special Elements used in an
OS Command ('OS Command Injection')
Heap-based Buffer Overflow
Uitgiftedatum : 20240910
Toepassing : qnap qts
qnap quts_hero
qnap_systems_inc. qts
qnap_systems_inc. quts_hero
Versie(s) :
Platform(s) : qnap qts
qnap quts_hero
Beschrijving
QNAP heeft kwetsbaarheden verholpen in QTS en QTS Hero.
Een kwaadwillende kan de kwetsbaarheden misbruiken om zich verhoogde
rechten toe te kennen, toegang te krijgen tot gevoelige gegevens of
willekeurige OS commando's uit te voeren.
Voor succesvol misbruik moet de kwaadwillende reeds over voorafgaande
authenticatie beschikken.
Mogelijke oplossingen
QNAP heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Zie
bijgevoegde referenties voor meer informatie.
Referenties:
Reference - cveprojectv5; hkcert; nvd
https://www.qnap.com/en/security-advisory/qsa-24-28
Reference - cveprojectv5; hkcert; nvd
https://www.qnap.com/en/security-advisory/qsa-24-32
Reference - cveprojectv5; hkcert; nvd
https://www.qnap.com/en/security-advisory/qsa-24-33
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----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=5Lo1
-----END PGP SIGNATURE-----
