-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheden verholpen in QNAP besturingssystemen
Advisory ID : NCSC-2024-0467
Versie : 1.00
Kans : medium
CVE ID : CVE-2024-48859, CVE-2024-48865, CVE-2024-48866,
CVE-2024-48867, CVE-2024-48868, CVE-2024-50393,
CVE-2024-50402, CVE-2024-50403
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : high
Improper Neutralization of Special Elements used in an
OS Command ('OS Command Injection')
Use of Externally-Controlled Format String
Improper Handling of URL Encoding (Hex Encoding)
Improper Neutralization of CRLF Sequences ('CRLF
Injection')
Improper Authentication
Improper Certificate Validation
Uitgiftedatum : 20241209
Toepassing : qnap qts
qnap quts_hero
qnap_systems_inc. qts
qnap_systems_inc. quts_hero
Versie(s) :
Platform(s) : qnap qts
qnap quts_hero
Beschrijving
QNAP heeft kwetsbaarheden verholpen in verschillende versies van hun
besturingssystemen, waaronder QTS en QuTS hero.
De kwetsbaarheden omvatten onjuiste authenticatie, problemen met
certificaatvalidatie, onjuiste URL-codering, CRLF-injectie en command
injection. Deze kwetsbaarheden stelden aanvallers in staat om
ongeautoriseerde toegang te verkrijgen, systeemfunctionaliteit te
verstoren, applicatiegegevens te wijzigen en zelfs willekeurige
commando's uit te voeren op Network Attached Storage (NAS) apparaten.
Mogelijke oplossingen
QNAP heeft specifieke latere versies van het besturingssysteem
uitgebracht om deze kwetsbaarheden te verhelpen. Organisaties die
gebruikmaken van de getroffen QNAP-producten wordt aangeraden om te
updaten naar deze versies om hun systemen te beveiligen. Zie
bijgevoegde referenties voor meer informatie.
Referenties:
Reference - cveprojectv5; nvd
https://www.qnap.com/en/security-advisory/qsa-24-49
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----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=wCqJ
-----END PGP SIGNATURE-----
