개요
QNAP 제품에서 발생하는 취약점을 해결하는 업데이트를 발표하였습니다. 해당하는 버전 사용자는 최신 버전으로 업데이트하시기 바랍니다.
대상 제품
CVE-2024-21899, CVE-2024-21900, CVE-2024-21901, CVE-2024-27124, CVE-2024-32764, CVE-2024-32766
- QTS 5.x 버전
- QTS 4.5.x 버전
- QuTS hero h5.x 버전
- QuTS hero h4.5.x 버전
- QuTScloud c5.x 버전
- myQNAPcloud 1.0.x 버전
- myQNAPcloud Link 2.4.x 버전
CVE-2023-51364, CVE-2023-51365
- QTS 5.1.x 버전
- QTS 4.5.x 버전
- QuTS hero h5.1.x 버전
- QuTS hero h4.5.x 버전
- QuTScloud c5.x 버전
해결된 취약점
QNAP 운영 체제에서 발생하는 네트워크를 통한 시스템 보안 손상 취약점 (CVE-2024-21899)
QNAP 운영 체제에서 발생하는 네트워크를 통한 OS 명령 삽입 취약점 (CVE-2024-21900, CVE-2024-27124, CVE-2024-32766)
QNAP 운영 체제에서 발생하는 SQL Injection 취약점 (CVE-2024-21901)
QNAP 운영 체제에서 발생하는 인증 누락으로 인한 권한 없는 사용자가 특정 기능에 액세스하고 실행할 수 있는 취약점 (CVE-2024-32764)
QNAP 운영 체제에서 발생하는 경로 탐색 취약점 (CVE-2023-51364, CVE-2023-51365)
취약점 패치
최신 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
CVE-2024-21899, CVE-2024-21900, CVE-2024-21901, CVE-2024-27124, CVE-2024-32764, CVE-2024-32766
- QTS 5.1.3.2578 빌드 20231110 이상의 버전
- QTS 4.5.4.2627 빌드 20231225 이상의 버전
- QuTS Hero h5.1.3.2578 빌드 20231110 이상의 버전
- QuTS Hero h4.5.4.2626 빌드 20231225 이상의 버전
- QuTScloud c5.1.5.2651 이상의 버전
- myQNAPcloud 1.0.52(2023/11/24) 이상의 버전
- myQNAPcloud Link 2.4.51 이상의 버전
CVE-2023-51364, CVE-2023-51365
- QTS 5.1.4.2596 빌드 20231128 이상의 버전
- QTS 4.5.4.2627 빌드 20231225 이상의 버전
- QuTS Hero h5.1.3.2578 빌드 20231110 이상의 버전
- QuTS Hero h4.5.4.2626 빌드 20231225 이상의 버전
- QuTScloud c5.1.5.2651 이상의 버전
참고 사이트
[1] Multiple Vulnerabilities in QTS, QuTS hero, QuTScloud, myQNAPcloud, and myQNAPcloud Link (PWN2OWN 2023)
https://www.qnap.com/en/security-advisory/qsa-24-09
[2] Multiple Vulnerabilities in QTS, QuTS hero, and QuTScloud (PWN2OWN 2023)