看板 Storage_Zone
傳送門 http://bit.ly/3ULUzGm 資安機構 watchTowr 17 日發表聲明,批評 QNAP 至今仍未修復 1 月向其報告的安全漏洞 ,修補速度極其緩慢,為了讓 QNAP 正視問題,watchTowr 決定公開漏洞迫其儘快解決問題 。 據了解,watchTowr 研究 QNAP NAS 的作業系統,包括 QTS、QuTSCloud 和 QTS hero 等共 發現了 15 個嚴重漏洞,其中一個是 2023 年 12 月向 QNAP 公報告,其餘漏洞則是 1 月 初報告,但直至 2024 年 5 月 17 日,只有 4 個漏洞已經被修復,6 個漏洞已被 QNAP 確 認但未有修復,還有 5 個漏洞 QNAP 完全沒有作出公布。 根據資安業界標準,研究人員會提供 90 天的披露期限,在此時間內不會向公眾透露漏洞詳 情,不過 watchTowr 稱 QNAP 得悉漏洞已超過 90 天期限,間期已多次要求延期,對於這 些不存在補救障礙的漏洞,廠方仍然一直拖延處理,研究人員決定公開漏洞迫使其儘快修補 。 watchTowr 目前已經在 GitHub 上公布了 QNAP NAS 上一個無需身份驗證的堆疊溢位漏洞 ( CVE-2024-27130),只要有效的 NAS 使用者共享惡意文件,就可能導致遠端程式碼執行 (RC E) ,向 QNAP 施壓要求立即正視問題。 QNAP 曾經發生過 Qlocker 及 Deadbolt 等勒索軟件攻擊,按道理應該對關鍵漏洞處理變得 更加積極,然而這次事件讓 watchTowr 感到相當震驚,儘管兩方溝通上 QNAP 表現非常合 作,但 watchTowr 仍會毫不猶豫地譴責那些忽視 90 天披露期限的供應商,修補漏洞是刻 不容緩。 ----- 心得:記得之前qnap才出一波大問題,現在又爆出漏洞修補進度緩慢,希望版上用戶一切平 安。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.227.93.199 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Storage_Zone/M.1716372539.A.ABE.html
abc21086999 : 爛得要死 05/22 18:09
spfy : 群暉又要漲價惹嗎 05/22 18:35
shasen1236 : 這樣算是0 day嗎 05/22 18:54
tyf99 : 不重要啦,把硬體規格拿出來吹一下就能賣了 05/22 19:18
saimeitetsu : 趕快改名成k(id)Nap吧 05/22 19:56
Chricey : 有人知道UC2和其他關節保健品的差異嗎? 05/30 08:32
AISC : 在台灣 洩漏的人就要被吉了 05/22 23:52
leolarrel : 鄉民:"能動就不要動它!" 05/23 09:56
leolarrel : 台灣不重視軟體,莫此為甚 05/23 09:57
leolarrel : 一部分消費者想說買品牌不自己組TrueNAS,就是想說 05/23 09:58
Chricey : 樓上UC2當糖吃,天天走拿飛 05/23 09:58
leolarrel : 有保固有維護.哈結果被爛公司狠狠打臉 05/23 09:59
hellomotogg : watchTowr 會被告嗎 05/23 11:21
Catlaco : 買NAS不買群暉的 想必資料也不是很重要 沒差囉 05/23 18:57
diablo4 : 為了讓QNAP正視問題 watchTowr公開漏洞迫其解決問題 05/24 21:39
Chricey : 有人知道UC2和其他關節保健品的差異嗎? 05/24 21:39
diablo4 : 笑了 05/24 21:39
diablo4 : 被公開漏洞 現在NAS先當DAS用了 可怕 05/24 21:41
fiiox3 : 超時就公開漏洞很正常啊 05/26 12:48
twerik : 還好只用S牌的 05/30 08:32
Kroner : 關節痛就老人病 05/30 08:32