AccueilSécuritéQnap comble des failles de sécurité dans le logiciel complémentaire du NAS

Qnap comble des failles de sécurité dans le logiciel complémentaire du NAS

Pour les systèmes NAS de Qnap, le fabricant propose des extensions sous forme de logiciels supplémentaires. Dans certains packs complémentaires, des failles de sécurité ont mis en danger l’intégrité des systèmes de stockage en réseau avec parfois un risque élevé. Le fabricant met maintenant à disposition des mises à jour qui colmatent les brèches de sécurité.

Une faille dans le logiciel complémentaire Surveillance Station permettrait aux pirates d’introduire et d’exécuter du code arbitraire sur les NAS de Qnap. Un dépassement de mémoire tampon basé sur la pile pourrait se produire dans le logiciel. Les nouvelles versions de Surveillance Station comblent la faille et sont disponibles à partir du 1er janvier 2011. 5.2.0.4.2, 5.2.0.3.2, 5.1.5.4.6 ainsi que 5.1.5.3.6 n’est plus inclus (CVE-2021-38687, risque élevé).

La société a identifié une autre vulnérabilité dans le logiciel NAS de Qnap, Kazoo Server, version 4.11.20 fermé. Si le serveur multimédia UPnP Kazoo Server était actif, des attaquants auraient pu introduire du code malveillant via cross-site scripting (CVE-2021-38680, moyen).

Une mise à jour de l’application Android Qfile permettant de naviguer sur le NAS via un smartphone a également été publiée. Dans la version 3.0.0.1105 de l’application, il n’est plus possible pour un attaquant de la compresser et d’obtenir des informations sensibles en raison d’une authentification incorrecte (CVE-2021-38688, moyen).

Sommaire

Qnap a publié trois messages de sécurité à ce sujet :

  • QSA-21-46 : « Vulnérabilité de débordement de tampon de la pile dans la station de surveillance ».
  • QSA-21-54 : « Vulnérabilité XSS réfléchie dans le serveur Kazoo ».
  • QSA-21-55 : « Vulnérabilité d’authentification améliorée dans Qfile ».

Les administrateurs Qnap qui utilisent ce logiciel doivent appliquer rapidement les mises à jour fournies.

Lire aussi

Plus d'articles