Network-attached storage (NAS) appliance maker QNAP op woensdag zei het werkt aan het updaten van zijn QTS- en QuTS-besturingssystemen nadat Netatalk vorige maand patches had uitgebracht om zeven beveiligingsfouten in zijn software te bevatten.
Netatalk is een open-source implementatie van het Apple Filing Protocol (AFP), waardoor Unix-achtige besturingssystemen kunnen dienen als bestandsservers voor Apple macOS-computers.
Op 22 maart 2022 werden de beheerders vrijgegeven versie 3.1.13 van de software om grote beveiligingsproblemen op te lossen – CVE-2021-31439, CVE-2022-23121, CVE-2022-23122, CVE-2022-23123, CVE-2022-23124, CVE-2022-23125en CVE-2022-0194 — dat zou kunnen worden misbruikt om willekeurige code-uitvoering te bereiken.
“Deze kwetsbaarheid [CVE-2022-23121] kan op afstand worden geëxploiteerd en heeft geen authenticatie nodig”, NCC Group-onderzoekers dat is genoteerd vorige maand. “Het stelt een aanvaller in staat om externe code te laten uitvoeren als de ‘niemand’-gebruiker op de NAS. Deze gebruiker heeft toegang tot privéshares waarvoor normaal verificatie vereist is.”
QNAP merkte op dat de Netatalk-kwetsbaarheden gevolgen hebben voor de volgende versies van het besturingssysteem:
- QTS 5.0.x en hoger
- QTS 4.5.4 en hoger
- QTS 4.3.6 en hoger
- QTS 4.3.4 en hoger
- QTS 4.3.3 en hoger
- QTS 4.2.6 en hoger
- QuTS hero h5.0.x en hoger
- QuTS hero h4.5.4 en hoger, en
- QuTScloud c5.0.x
Totdat de updates beschikbaar zijn, raadt het Taiwanese bedrijf gebruikers aan om AFP uit te schakelen. De fouten zijn tot nu toe verholpen in QTS 4.5.4.2012 build 20220419 en later.
De onthulling komt minder dan een week nadat QNAP zei dat het zijn productassortiment onderzoekt op mogelijke impact als gevolg van twee beveiligingsproblemen die vorige maand in de Apache HTTP-server zijn verholpen.
