【漏洞預警】教育部所屬機關所使用之資訊設備(QNAP)疑似存在漏洞,允許攻擊者建立任意檔案於特定路徑內,進而執行任意程式碼
【漏洞預警】教育部所屬機關所使用之資訊設備(QNAP)疑似存在漏洞,允許攻擊者建立任意檔案於特定路徑內,進而執行任意程式碼
發佈日期 :
2021-05-03
教育機構ANA通報平台
發佈編號 |
TACERT-ANA-2021050309053838 |
發佈時間 |
2021-05-03 09:41:42 |
事故類型 |
ANA-漏洞預警 |
發現時間 |
2021-04-28 09:58:40 |
影響等級 |
中 |
||
[主旨說明:]【漏洞預警】 |
|||
[內容說明:] 轉發 國家資安資訊分享與分析中心 NISAC-ANA-202104-1319
本中心接獲外部情資,
情資分享等級: WHITE(情資內容為可公開揭露之資訊)
此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發
|
|||
[影響平台:] CVE-2020-2509:
所有QNAP設備
CVE-2020-36195:
啟用Multimedia Console與Media Streaming Add-on應用程式之QNAP設備
CVE-2021-28798:
TS-112P、TAS-168、TAS-268之QTS 4.3.3.1624 build 20210416以前版本
CVE-2021-28799:
啟用HBS 3 Hybrid Backup Sync應用程式之QNAP設備
|
|||
[建議措施:] 目前QNAP官方已針對此漏洞釋出更新程式,
QTS:
QTS 4.5.2.1566 Build 20210202(含)以後版本
QTS 4.5.1.1495 Build 20201123(含)以後版本
QTS 4.3.6.1620 Build 20210322(含)以後版本
QTS 4.3.4.1632 Build 20210324(含)以後版本
QTS 4.3.3.1624 Build 20210416(含)以後版本
QTS 4.2.6 Build 20210327(含)以後版本
QuTS hero:
QuTS hero h4.5.1.1491 build 20201119(含)以後版本
Media Streaming Add-on:
QTS 4.3.6: Media Streaming add-on 430.1.8.8(含)以後版本
QTS 4.3.3: Media Streaming add-on 430.1.8.10(含)以後版本
Multimedia Console:
QTS 4.4.x and later: Multimedia Console 1.3.4(含)以後版本
HBS 3 Hybrid Backup Sync:
QTS 4.5.2: HBS 3 Hybrid Backup Sync 16.0.0415(含)以後版本
QTS 4.3.6: HBS 3 Hybrid Backup Sync 3.0.210412(含)以後版本
QuTS hero h4.5.1: HBS 3 Hybrid Backup Sync 16.0.0419(含)以後版本
QuTScloud c4.5.1~c4.5.4: HBS 3 Hybrid Backup Sync 16.0.0419(含)以後版本
|
|||
[參考資料:] |
(此通報僅在於告知相關資訊,並非為資安事件) |