Ağa bağlı depolama (NAS) cihazı üreticisi QNAP Çarşamba günü dedim Netatalk geçen ay yazılımında yedi güvenlik açığı içeren yamalar yayınladıktan sonra QTS ve QuTS işletim sistemlerini güncellemeye çalışıyor.
nettalk Apple Dosyalama Protokolünün açık kaynaklı bir uygulamasıdır (AFP), Unix benzeri işletim sistemlerinin Apple macOS bilgisayarları için dosya sunucuları olarak hizmet etmesine izin verir.
22 Mart 2022’de bakıcıları serbest bırakıldı sürüm 3.1.13 önemli güvenlik sorunlarını çözmek için yazılımın CVE-2021-31439, CVE-2022-23121, CVE-2022-23122, CVE-2022-23123, CVE-2022-23124, CVE-2022-23125ve CVE-2022-0194 – keyfi kod yürütme elde etmek için kullanılabilir.
“Bu güvenlik açığı [CVE-2022-23121] uzaktan kullanılabilir ve kimlik doğrulama gerektirmez”, NCC Group araştırmacıları not alınmış geçen ay. “Bir saldırganın NAS’ta ‘hiç kimse’ kullanıcısı olarak uzaktan kod yürütmesine izin verir. Bu kullanıcı, normalde kimlik doğrulaması gerektiren özel paylaşımlara erişebilir.”
QNAP, Netatalk güvenlik açıklarının aşağıdaki işletim sistemi sürümlerini etkilediğini belirtti –
- QTS 5.0.x ve üstü
- QTS 4.5.4 ve üstü
- QTS 4.3.6 ve üstü
- QTS 4.3.4 ve üstü
- QTS 4.3.3 ve üstü
- QTS 4.2.6 ve üstü
- QuTS hero h5.0.x ve üstü
- QuTS hero h4.5.4 ve üstü ve
- QuTScloud c5.0.x
Tayvanlı şirket, güncellemeler gelene kadar kullanıcılara AFP’yi devre dışı bırakmalarını tavsiye ediyor. Kusurlar şimdiye kadar QTS 4.5.4.2012 derleme 20220419 ve sonraki sürümlerde düzeltildi.
Açıklama, QNAP’ın geçen ay Apache HTTP sunucusunda ele alınan iki güvenlik açığından kaynaklanan potansiyel etki için ürün serisini araştırdığını söylemesinden bir haftadan kısa bir süre sonra geldi.