【安全圈】威联通NAS设备有严重的 PHP 漏洞,使其易受远程攻击

admin 2022年6月25日13:56:32安全新闻评论7 views1055字阅读3分31秒阅读模式
【安全圈】威联通NAS设备有严重的 PHP 漏洞,使其易受远程攻击

关键词

NAS、漏洞


国台湾著名厂商 QNAP 正在解决一个关键的PHP 漏洞,该漏洞追踪为 CVE-2019-11043(CVSS评分9.8分,满分10分),可被用来实现远程代码执行。


【安全圈】威联通NAS设备有严重的 PHP 漏洞,使其易受远程攻击


安全研究人员发现在 FPM 设置的某些配置中,有可能会触发与为 FCGI 协议数据保留的内存空间相关的缓冲区溢出,从而可能导致远程代码执行。

漏洞影响版本甚多

从 QNAP 发布的公告中来看,漏洞主要影响了配置不当 nginx 的 PHP 版本 7.1.x 以下7.1.33,7.2.x 以下7.2.24,和 7.3.x 以下 7.3.11。值得注意的是,如果黑客想要利用该漏洞,必须同时运行 nginx 和 php-fpm。
另外,虽然 QTS、QuTS hero 和 QuTScloud 默认没有安装 nginx,但如果用户 NAS 上安装并运行 nginx 和 php-fpm,其 QNAP NAS 仍有可能受到影响。”
CVE-2019-11043 漏洞主要影响使用以下 QNAP 操作系统版本的设备:

QTS 5.0.x及更高版本;

QTS 4.5.x及更高版本;

QuTS hero h5.0.x及更高版本;

QuTS hero h4.5.x及更高版本;

QuTScloud c5.0.x及更高版本。

QNAP 敦促用户尽快应用更新版本

目前,QNAP 指出,QTS、QuTS hero 或 QuTScloud 默认没有安装 nginx,出于这个原因,NAS 设备默认配置下不会受到影响。
供应商已在以下操作系统版本中解决了该漏洞,并将尽快发布其余操作系统版本的安全更新。

QTS 5.0.1.2034 build 20220515 及更高的版本;

QuTS hero h5.0.0.2069 build 20220614 及更高版本。


网络安全研究人员敦促 QNAP 客户保持其设备处于最新版本。QNAP 在 5 月也发布公告,警告客户新一波的 DeadBolt 勒索软件攻击可能来袭,敦促用户应用最新的安全更新。
最后,安全专家表示,有一个新的 ech0raix 勒索软件活动正在针对 QNAP 网络附加存储(NAS)设备。


   END  

阅读推荐

【安全圈】威联通NAS设备有严重的 PHP 漏洞,使其易受远程攻击【安全圈】谷歌警告:苹果和安卓手机都遭到意大利间谍软件攻击

【安全圈】威联通NAS设备有严重的 PHP 漏洞,使其易受远程攻击【安全圈】三部门:推行隐私面单、虚拟号码等技术,保障寄递用户隐私

【安全圈】威联通NAS设备有严重的 PHP 漏洞,使其易受远程攻击【安全圈】火绒安全与英特尔vPro平台合作,共筑软硬件协同安全新格局

【安全圈】威联通NAS设备有严重的 PHP 漏洞,使其易受远程攻击【安全圈】立陶宛对俄实施铁路货物禁令后遭到网络攻击


【安全圈】威联通NAS设备有严重的 PHP 漏洞,使其易受远程攻击
【安全圈】威联通NAS设备有严重的 PHP 漏洞,使其易受远程攻击

安全圈

【安全圈】威联通NAS设备有严重的 PHP 漏洞,使其易受远程攻击

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握!

【安全圈】威联通NAS设备有严重的 PHP 漏洞,使其易受远程攻击

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!

【安全圈】威联通NAS设备有严重的 PHP 漏洞,使其易受远程攻击



原文始发于微信公众号(安全圈):【安全圈】威联通NAS设备有严重的 PHP 漏洞,使其易受远程攻击

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月25日13:56:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【安全圈】威联通NAS设备有严重的 PHP 漏洞,使其易受远程攻击 http://cn-sec.com/archives/1143556.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: