شرکت QNAP، که یکی از پیشگامان در زمینه راهحلهای ذخیرهسازی شبکه و مدیریت دادهها است، اخیراً اطلاعیهای امنیتی منتشر کرده است که در آن به وجود آسیبپذیریهایی در سیستم عاملهای QTS و QuTS hero اشاره شده است. این آسیب پذیریها میتوانند توسط کاربران مجاز از طریق شبکه برای خواندن یا تغییر منابع حیاتی، اجرای کد دلخواه و تحت الشعاع قرار دادن امنیت دستگاهها استفاده شوند.
آسیب پذیری اول، با شناسه CVE-2024-21902، به دلیل تخصیص نادرست دسترسیها به منابع حیاتی رخ داده است. این مشکل به کاربران مجاز امکان میدهد تا منابع را از راه دور و از طریق شبکه بخوانند یا تغییر دهند.
دومین آسیب پذیری با شناسههای CVE-2024-27127، به دوبار آزادسازی حافظه اشاره دارد که میتواند به اجرای کد دلخواه توسط کاربران مجاز منجر شود. سه آسیب پذیری دیگر با شناسههای CVE-2024-27128، CVE-2024-27129 و CVE-2024-27130، مربوط به کپی کردن بافر بدون بررسی اندازه ورودی است، که این نیز میتواند به اجرای کد دلخواه توسط کاربران مجاز منجر شود.
این آسیبپذیریها در نسخههای QTS 5.1.x و QuTS hero h5.1.x شناسایی شدهاند. خوشبختانه، شرکت QNAP این مشکلات را در نسخههای جدیدی که QTS 5.1.7.2770 و QuTS hero h5.1.7.2770 نام دارند، رفع کرده است.
در صورتی که از تجهیزات ذخیره سازی QNAP در سازمان خود استفاده میکنید، با شرکت پشتیبان جهت ارتقا سیستم عامل هماهنگ کنید.