🔴 Soldes d'été : jusqu'à - 50% sur le high-tech 🔴 Soldes d'été : jusqu'à - 50% sur le high-tech

Vous avez un NAS QNAP ? Mettez-le à jour maintenant !

Nerces
Spécialiste Hardware et Gaming
24 juin 2022 à 09h00
7
QNAP TS-364 © QNAP
© QNAP

S'il est connecté en permanence au réseau, un NAS se doit d'être suivi de manière très régulière par son administrateur.

Ces derniers mois, QNAP a connu des tourments « sécuritaires » avec ses NAS. Le fabricant annonce la correction d'un bug relativement ancien, mais dont le danger n'a été démontré que récemment.

Un vieux bug tout récemment exploité

Lié au PHP dans le cadre du FastCGI Process Manager, ledit bug laisse le champ libre à des usagers malintentionnés. En effet, il leur est possible de manipuler le FastCGI Process Manager afin d'écrire au-delà des tampons alloués au sein de l'espace réservé aux données du protocole FCGI.

Ce faisant, il devient possible d'exécuter du code à distance et il n'existe alors plus aucune barrière sur le NAS. Reconnu par QNAP, le bug affecte les versions de QTS 5.0.x et supérieures de même que les QTS 4.5.x et supérieures. Les QTS Hero h5.0.x et supérieures sont aussi touchées.

Il est donc plus que conseiller de mettre à jour sans trop tarder votre NAS QNAP : le fabricant recommande le déploiement du dernier micrologiciel disponible pour se prémunir de toute menace. Nous vous invitons à le télécharger depuis votre NAS ou depuis le site officiel du constructeur.

Grand concurrent de Synology, leader sur le marché du NAS, QNAP est un constructeur résolument haut de gamme qui propose toutefois et de manière régulière, des « premiers prix ». C’est un peu le cas du modèle que nous testons aujourd’hui, le tout nouveau TS-233.
Lire la suite

Source : Tom's Hardware

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
7
6
clockover
Quand à faire un article autant être précis parce que « les versions de QTS 5.0.x ».<br /> Ba c’est dommage la dernière stable est une 5.0.x et elle a été release en mai…<br /> Du coup l’article ne donne aucune indication sur quelle version n’est plus impactée.<br /> A moins que QNAP n’ai pas encore de correctif.
dimebag
Ca fait pas mal de jours que la dernière « alerte » et la dernière maj contenant pas mal de mise à jour de sécurité est sortie<br /> Clubic n’a pas l’air très en avance sur cette info
Stef_R
QuanT à faire…
clockover
Effectivement…
sources
La dernière build date de début juin, le 8 exactement, et c’est la QTS 5.0.0.2055 build 20220531 : https://www.qnap.com/fr-fr/release-notes/qts/5.0.0.2055/20220531<br /> Rien de bien extraordinaire par rapport à d’habitude. Mais il est clair qu’à l’heure actuelle il vaut mieux surveiller les MAJ de tout matériel connecté.
bmustang
même la beta 5.0.1.2034 est concernée puisqu’on parle de 5.0.X ? Voici ce que dit qnap :<br /> A vulnerability has been reported to affect PHP versions 7.1.x below 7.1.33, 7.2.x below 7.2.24, and 7.3.x below 7.3.11 with improper nginx configuration. If exploited, the vulnerability allows attackers to gain remote code execution.<br /> For the vulnerability to be exploited, both nginx and php-fpm must be running. While QTS, QuTS hero, and QuTScloud do not have nginx installed by default, your QNAP NAS may still be affected if you have installed and are running nginx and php-fpm on your NAS.<br /> If your QNAP NAS is running nginx and php-fpm, the vulnerability affects the following QNAP operating system versions:<br /> QTS 5.0.x<br /> QTS 4.5.x<br /> QuTS hero h5.0.x<br /> QuTS hero h4.5.x<br /> QuTScloud c5.0.x<br /> We have already fixed this vulnerability in the following OS versions:<br /> QTS 5.0.1.2034 build 20220515 and later<br /> QuTS hero h5.0.0.2069 build 20220614 and later<br /> We will release security updates for the remaining OS versions as soon as possible.
clockover
Elle date du 20220531 plus exactement
Voir tous les messages sur le forum

Lectures liées

Le FSR 2.0 déjà disponible pour les développeurs Xbox Series, encore rien sur PS5
Des premiers rendus de la GeForce RTX 4090 Ti promettent une carte énorme
Arc Alchemist : Intel publie les benchmarks officiels de ses GPU mobiles haut de gamme, la RTX 3060 en ligne de mire
Soldes 2022 : Le TOP 10 des offres high tech qui valent le détour !
Dimensity 9000+ : l’arme de MediaTek pour concurrencer Qualcomm et son Snapdragon 8+ Gen1
Cdiscount frappe fort pour les soldes avec 8 promos high-tech
TerraMaster déploie TOS 5, son nouveau système pour NAS ; quoi de neuf ?
L'Intel Arc Alchemist A380 est encore moins performante avec un CPU AMD
Le FSR 2.0, la technologie d'upscaling d'AMD, passe en open source
Des variantes X3D des Ryzen 7000 déja prévues pour cette année
Haut de page