QNAP 警告 OpenSSL 无限循环漏洞影响 NAS 设备

台湾公司 QNAP 本周透露，其选定数量的网络附加存储 (NAS) 设备受到最近披露的开源 OpenSSL 加密库中的一个漏洞的影响。

“据报道，OpenSSL 中的一个无限循环漏洞会影响某些 QNAP NAS，”该公司在 2022 年 3 月 29 日发布的一份公告中表示。“如果被利用，该漏洞允许攻击者进行拒绝服务攻击。”

跟踪为CVE-2022-0778（CVSS 评分：7.5），该问题与解析安全证书以触发拒绝服务条件并远程使未打补丁的设备崩溃时出现的错误有关。

目前正在调查其产品阵容的 QNAP 表示，它会影响以下操作系统版本 -

QTS 5.0.x 及更高版本QTS 4.5.4 及更高版本QTS 4.3.6 及更高版本QTS 4.3.4 及更高版本QTS 4.3.3 及更高版本QTS 4.2.6 及更高版本QuTS hero h5.0.x 及更高版本QuTS hero h4.5.4 及更高版本，以及QuTScloud c5.0.x

迄今为止，没有证据表明该漏洞已在野外被利用。尽管意大利的计算机安全事件响应小组 (CSIRT)在 3 月 16 日发布了相反的公告，但该机构向黑客新闻澄清说，它已经“用勘误表更新了警报”。

一周前，QNAP 发布了 QuTS hero 安全更新（版本 h5.0.0.1949 build 20220215 及更高版本），以解决影响其设备的“ Dirty Pipe ”本地权限提升漏洞。QTS 和 QuTScloud 操作系统的补丁预计将很快发布。

原文来自: thehackernews.com