Search

Espace actualités de QNAP

Restez informé des dernières nouveautés, des récompenses QNAP et connectez-vous à notre équipe

Espace actualités de QNAP
Communiqué de presse

Réponse officielle de QNAP PSIRT concernant les récents rapports de sécurité (WatchTowr Labs)

Réponse officielle de QNAP PSIRT concernant les récents rapports de sécurité (WatchTowr Labs)

Taïwan, Taipei, le 21 Mai 2024 - QNAP® Systems, Inc. (QNAP) s'engage à maintenir les normes de sécurité les plus élevées pour ses produits. Nous avons récemment été informés de multiples vulnérabilités dans notre système d'exploitation QTS, comme indiqué dans un rapport de WatchTowr Labs. Nous souhaitons aborder les résultats et exposer nos actions pour résoudre ces problèmes.

Remédier aux vulnérabilités signalées dans QTS

Nous apprécions les efforts des chercheurs en matière de sécurité qui identifient les vulnérabilités potentielles de nos produits. Nous avons affecté des ID CVE aux vulnérabilités confirmées dans le rapport. Quatre de ces vulnérabilités (CVE-2023-50361, CVE-2023-50362, CVE-2023-50363, CVE-2023-50364) ont été corrigées dans la mise à jour QTS 5.1.6 / QuTS hero h5.1.6 publiée en avril 2024. Les autres vulnérabilités confirmées (CVE-2024-21902, CVE-2024-27127, CVE-2024-27128, CVE-2024-27129, CVE-2024-27130) ont été corrigées dans la mise à jour QTS 5.1.7 / QuTS hero h5.1.7 d'aujourd'hui (21 mai, heure de Taipei).

En particulier :

  • CVE-2024-27131 : L'amélioration nécessite un changement dans les spécifications de l'interface utilisateur dans QuLog Center. Ce n'est pas une vulnérabilité réelle, mais plutôt un choix de design, et cela n'affecte que les scénarios de réseaux internes. Cette modification sera prise en compte dans QTS 5.2.0 / QuTS hero h5.2.0.
  • WT-2023-0050 : Ce problème est encore en cours d'examen et n'a pas été confirmé comme une vulnérabilité valide. Nous travaillons en étroite collaboration avec les chercheurs pour clarifier son statut.
  • WT-2024-0004 et WT-2024-0005 : Ces questions sont également en cours d'examen et nous sommes en discussion active avec les chercheurs pour les comprendre et les résoudre.
  • WT-2024-0006 : Un ID CVE a été affecté à ce problème, qui sera résolu dans la prochaine version.

Vulnérabilité CVE-2024-27130

La vulnérabilité CVE-2024-27130, qui a été signalée sous l'ID WT-2023-0054 de WatchTowr, est due à l'utilisation non sécurisée de la fonction 'strcpy' dans la fonction « No_Support_ACL », qui est utilisée par la requête « get_file_size » dans le script « share.cgi » Ce script est utilisé lors du partage de média avec des utilisateurs externes. Pour exploiter cette vulnérabilité, un attaquant doit disposer d'un paramètre 'ssid' valide, qui est généré quand un utilisateur de NAS partage un fichier depuis son appareil QNAP.

Nous voulons rassurer nos utilisateurs sur le fait que toutes les versions 4.x et 5.x de QTS / QuTS hero activent ASLR (Address Space Layout Randomization). ASLR augmente considérablement la difficulté pour un attaquant d'exploiter cette vulnérabilité. Par conséquent, nous avons évalué sa gravité comme étant moyenne. Néanmoins, nous recommandons vivement aux utilisateurs de mettre à jour vers QTS 5.1.7 / QuTS hero h5.1.7 dès que celle-ci sera disponible afin d'assurer la protection de leurs systèmes.

Engagement en matière de Sécurité

QNAP PSIRT a toujours été proactif dans sa collaboration avec les chercheurs en sécurité pour trier et remédier aux vulnérabilités. Nous regrettons tout problème de coordination qui aurait pu survenir entre le calendrier de sortie du produit et la divulgation de ces vulnérabilités. Nous prenons des mesures pour améliorer nos processus et notre coordination à l'avenir afin d'éviter que de tels problèmes ne se reproduisent.

À l'avenir, pour les vulnérabilités classées comme étant de gravité élevée ou critique, nous nous engageons à achever la correction et à publier des correctifs dans un délai de 45 jours. Pour les vulnérabilités de gravité moyenne, nous achèverons la correction et publierons des correctifs dans un délai de 90 jours.

Nous nous excusons pour les inconvénients que cela a pu causer et nous nous engageons à améliorer continuellement nos mesures de sécurité. Notre objectif est de travailler en étroite collaboration avec des chercheurs du monde entier afin de garantir la plus haute qualité de sécurité pour nos produits.

Pour sécuriser votre appareil, nous vous recommandons de mettre régulièrement à jour votre système vers la dernière version afin de bénéficier des correctifs de vulnérabilité. Vous pouvez consulter le statut de prise en charge des produits pour connaître les dernières mises à jour disponibles pour votre modèle de NAS.

QNAP Product Security Incident Response Team (PSIRT)
Avis de sécurité

À propos de QNAP

QNAP (Quality Network Appliance Provider) se consacre à fournir des solutions complètes dans le développement de logiciels, la conception de matériel et la fabrication en interne. Se concentrant sur le stockage, le réseau et les innovations intelligentes en matière de vidéo, QNAP présente désormais une solution de NAS cloud révolutionnaire qui rejoint notre écosystème de logiciels de pointe par abonnement et de canaux de services diversifiés. QNAP conçoit le NAS comme étant plus qu’un simple stockage et a créé une infrastructure réseau basée sur le cloud permettant aux utilisateurs d’héberger et de développer l’analyse de l’intelligence artificielle, l’informatique de pointe et l’intégration des données sur leurs solutions QNAP.

Demandes liées au multimédia

marketing@qnap.com

Choisissez une spécification

      En voir davantage Moins

      Ce site est disponible dans d'autres pays/régions :

      open menu
      back to top