Alert GCSA-23146 - Vulnerabilita' in NAS QNAP
******************************************************************
Alert ID: GCSA-23146
Data: 7 Novembre 2023
Titolo: Vulnerabilita' in NAS QNAP
******************************************************************
:: Descrizione del problema
Sono state identificate quattro vulnerabilita' nei NAS QNAP di cui due
di livello critico che potrebbero consentire ad un attaccante remoto
di eseguire codice arbitrario e manipolare dati sul sistema target.
:: Software interessato
Media Streaming add-on 500.0.x, versioni precedenti alla 500.0.0.11
Media Streaming add-on 500.1.x, versioni precedenti alla 500.1.1.2
Multimedia Console 1.4.x, versioni precedenti alla 1.4.8
Multimedia Console 2.1.x, versioni precedenti alla 2.1.2
QTS 4.2.x, versioni precedenti alla 4.2.6 build 20230621
QTS 4.3.3.x, versioni precedenti alla 4.3.3.2420 build 20230621
QTS 4.3.4.x, versioni precedenti alla 4.3.4.2451 build 20230621
QTS 4.3.6.x, versioni precedenti alla 4.3.6.2441 build 20230621
QTS 4.5.x, versioni precedenti alla 4.5.4.2374 build 20230416
QTS 5.0.x, versioni precedenti alla 5.0.1.2376 build 20230421
QTS 5.1.x, versioni precedenti alla 5.1.0.2399 build 20230515
QuTS hero h4.5.x, versioni precedenti alla h4.5.4.2374 build 20230417
QuTS hero h5.0.x, versioni precedenti alla h5.0.1.2376 build 20230421
QuTScloud c5.0.x, versioni precedenti alla c5.0.1.2374
:: Impatto
Remote Code Execution
Data Manipulation
:: Soluzioni
Aggiornare i sistemi alle ultime versioni rilasciate:
https://www.qnap.com/en/security-advisory/qsa-23-31
https://www.qnap.com/en/security-advisory/qsa-23-35
:: Riferimenti
QNAP Security Advisory:
https://www.qnap.com/en/security-advisories
Mitre CVE:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-23368
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-23369
GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iF0EAREIAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCZUpZ7QAKCRDBnEyTZRJg
QufKAJ4ki0aLLiOx8X3mFgOzZB9PThmNTgCgzT1O6Esom7ghpqOaDKFxClty02o=
=XZsl
-----END PGP SIGNATURE-----
Alert ID: GCSA-23146
Data: 7 Novembre 2023
Titolo: Vulnerabilita' in NAS QNAP
******************************************************************
:: Descrizione del problema
Sono state identificate quattro vulnerabilita' nei NAS QNAP di cui due
di livello critico che potrebbero consentire ad un attaccante remoto
di eseguire codice arbitrario e manipolare dati sul sistema target.
:: Software interessato
Media Streaming add-on 500.0.x, versioni precedenti alla 500.0.0.11
Media Streaming add-on 500.1.x, versioni precedenti alla 500.1.1.2
Multimedia Console 1.4.x, versioni precedenti alla 1.4.8
Multimedia Console 2.1.x, versioni precedenti alla 2.1.2
QTS 4.2.x, versioni precedenti alla 4.2.6 build 20230621
QTS 4.3.3.x, versioni precedenti alla 4.3.3.2420 build 20230621
QTS 4.3.4.x, versioni precedenti alla 4.3.4.2451 build 20230621
QTS 4.3.6.x, versioni precedenti alla 4.3.6.2441 build 20230621
QTS 4.5.x, versioni precedenti alla 4.5.4.2374 build 20230416
QTS 5.0.x, versioni precedenti alla 5.0.1.2376 build 20230421
QTS 5.1.x, versioni precedenti alla 5.1.0.2399 build 20230515
QuTS hero h4.5.x, versioni precedenti alla h4.5.4.2374 build 20230417
QuTS hero h5.0.x, versioni precedenti alla h5.0.1.2376 build 20230421
QuTScloud c5.0.x, versioni precedenti alla c5.0.1.2374
:: Impatto
Remote Code Execution
Data Manipulation
:: Soluzioni
Aggiornare i sistemi alle ultime versioni rilasciate:
https://www.qnap.com/en/security-advisory/qsa-23-31
https://www.qnap.com/en/security-advisory/qsa-23-35
:: Riferimenti
QNAP Security Advisory:
https://www.qnap.com/en/security-advisories
Mitre CVE:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-23368
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-23369
GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iF0EAREIAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCZUpZ7QAKCRDBnEyTZRJg
QufKAJ4ki0aLLiOx8X3mFgOzZB9PThmNTgCgzT1O6Esom7ghpqOaDKFxClty02o=
=XZsl
-----END PGP SIGNATURE-----