按 Enter 到主內容區
:::

TWCERT-電子報

:::

QNAP 修復 HBS 3 備份應用程式的嚴重漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2021-07-06
  • 點閱次數:95
QNAP 修復 HBS 3 備份應用程式的嚴重漏洞 TWCERT/CC

CVE編號

CVE-2021-28809

內文

台灣網路儲存設備大廠 QNAP 日前發表資安通報,修復一個可能造成駭侵者提升權限、遠端執行任意程式碼的嚴重漏洞;QNAP NAS 用戶應立即依指示更新,以降低遭駭風險。

台灣網路儲存設備(Network Attached Storage, NAS)大廠威聯通(QNAP),日前發表最新資安通報,修復一個可能造成駭侵者提升權限、遠端執行任意程式碼的嚴重漏洞;QNAP NAS 用戶應立即依照資安通報内的指示更新系統軟體,以降低遭到駭侵攻擊的風險。

得到修復的嚴重漏洞,其 CVE 編號為 CVE-2021-28809,屬於存取控制不當漏洞,存於 QNAP NAS 内建的資料備份暨還原應用程式 HBS 3 Hybrid Backup Sync 之中。

該漏洞的危險程度分級為最高等級的「嚴重」(Critical),其發生主因是由於程式内的錯誤,造成 NAS 系統無法有效阻擋駭侵者取得系統資源;駭侵者可藉由這個漏洞,提升自身執行權限,遠端執行任意程式碼,或是在未經管理者授權的情形下,任意讀取系統内儲存的各種資料。

QNAP 雖然在日前才發布資安通報,但又表示下列版本的 QNAP NAS 作業系統 QTS 中的 HBS 3 早已完成修復;這些 QTS 和對應的 HBS 3 版本如下:

  • QTS 4.3.6: HBS 3 v3.0.210507 與其後版本
  • QTS 4.3.4: HBS 3 v3.0.210506 與其後版本
  • QTS 4.3.3: HBS 3 v3.0.210506 與其後版本

另外 QNAP 也表示,執行 QTS 4.5.x 與 HBS 3 V16.x 版本的用戶,其軟體不存有此漏洞,因此不必擔心駭侵者透過此漏洞發動攻擊。

影響產品

QTS 4.3.6: HBS 3 v3.0.210507 之前版本。QTS 4.3.4: HBS 3 v3.0.210506 之前版本。QTS 4.3.3: HBS 3 v3.0.210506 之前版本。

解決辦法

升級至下列版本:
QTS 4.3.6: HBS 3 v3.0.210507 與其後版本
QTS 4.3.4: HBS 3 v3.0.210506 與其後版本
QTS 4.3.3: HBS 3 v3.0.210506 與其後版本
回頁首