QNAP 新聞室

台灣，台北，2024 年 5 月 21 日 - 威聯通®科技（QNAP）致力於維護產品的最高安全標準。近期我們收到了 WatchTowr Labs 發表關於 QTS 作業系統中多個弱點的弱點報告。我們希望對此報告作補充說明，以概述我們如何解決這些問題。

解決報告中的 QTS 弱點

我們感謝安全研究人員在尋找我們產品中潛在的安全弱點所作出的努力。我們已經指派了 CVE ID 予報告中已被確認的弱點，當中四個弱點（CVE-2023-50361，CVE-2023-50362，CVE-2023-50363，CVE-2023-50364）已於 2024 年 4 月份發行的 QTS 5.1.6 / QuTS hero h5.1.6 修正，而其他已被確認的弱點（CVE-2024-21902，CVE-2024-27127，CVE-2024-27128，CVE-2024-27129，CVE-2024-27130）已於今日（台北時間 5 月 21 日）發行的 QTS 5.1.7 / QuTS hero h5.1.7 版本中修正。

詳細如下：

• CVE-2024-27131：此功能改善需要在 QuLog Center 中更改 UI 設計。這不是實際的弱點，而是一個設計選擇，僅影響內部網路使用情境。這個功能改善將在 QTS 5.2.0 / QuTS hero h5.2.0 中發行。
• WT-2023-0050：此問題仍在審查中，尚未確認為有效弱點。我們正在與研究人員密切合作以釐清其狀態。
• WT-2024-0004 和 WT-2024-0005：這些問題也正在審查中，我們正在與研究人員進行積極討論以釐清問題。
• WT-2024-0006：此問題已被分配 CVE ID，並將在即將推出的版本中解決。

CVE-2024-27130 弱點

WatchTowr ID WT-2023-0054 報告中公布的 CVE-2024-27130 弱點是由於在 No_Support_ACL 功能中不安全地使用 'strcpy' 函數所致，當外部使用者使用分享連結存取檔案時，該功能被 share.cgi 中的 get_file_size 請求所使用。要利用此弱點，攻擊者需要有效的 'ssid' 參數，該參數是當 NAS 使用者從其 QNAP NAS 建立分享連結時生成的。

所有的 QTS / QuTS hero (h)4.x 和 (h)5.x 版本都預設啟用了位址空間配置隨機載入（Address space layout randomization，ASLR）。ASLR 顯著增加了攻擊者利用此弱點的難度。因此，我們將其嚴重性評估為中等。儘管如此，我們仍然強烈建議用戶立即更新至 QTS 5.1.7 / QuTS hero h5.1.7，以確保 NAS 系統受到保護。

對安全的承諾

QNAP PSIRT 一直以來積極地與安全研究人員合作，對弱點進行分類和修復。對於可能發生的產品發布時間表和這些弱點披露之間的協調問題，我們深感遺憾。我們正在採取措施改進我們的流程和協調，以防止類似問題再次發生。

未來，對於被分類為高或關鍵嚴重性的弱點，我們承諾在 45 天內完成修復並發布修復程式。對於中等嚴重性的弱點，我們將在 90 天內完成修復並發布修復程式。

我們對此可能引起的任何不便深表歉意，我們將不斷改善安全設計，並與全球的研究人員密切合作，確保我們產品擁有最高安全品質。

為了保護您的 NAS 系統與資料，我們建議定期將系統更新至最新版本以獲得最新的弱點修復。您可以查看產品支援狀態了解您的 NAS 型號的最新支援狀態。

QNAP 產品資安事件應對團隊（PSIRT）
安全建議

• QSA-24-20
• QSA-24-23