更新時間:2020/06/02 06:11:35
發佈時間:2020/06/02 06:11:35
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
概述: 行政院技術服務中心於5月22日發布QNAP NAS設備使用之Photo Station應用程式,存在任意檔案讀取與程式碼注入等安全漏洞(CVE-2019-7192、CVE-2019-7193、CVE-2019-7194及CVE-2019-7195),遠端攻擊者可對目標設備發送特製請求,利用此漏洞進而執行任意程式碼[1]。媒體iThome報導,據研究人員分析,當時全球可能有超過31萬臺QNAP NAS曝險,於2019年6月在資安廠商通報後,QNAP已經在2019年12月將4項漏洞全數修補[2]。
NVD公告漏洞編號[3]:
CVE-2019-7192
Base Score: 9.8 CRITICAL
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE-2019-7193
Base Score: 9.8 CRITICAL
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE-2019-7194
Base Score: 9.8 CRITICAL
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE-2019-7195
Base Score: 9.8 CRITICAL
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
github漏洞利用說明[4]:
目前已有研究人員發布漏洞驗證工具於github。
影響平台:
啟用Photo Station應用程式之QNAP設備皆受此漏洞影響。
因應對策or建議措施:
目前QNAP官方已針對此漏洞釋出更新程式[5],請評估後於官方網站下載更新至以下版本:
QTS:
QTS 4.4.1:build 20190918(含)以後版本
QTS 4.3.6:build 20190919(含)以後版本
Photo Station:
QTS 4.4.1:Photo Station 6.0.3(含)以後版本
QTS 4.3.4 ~ QTS 4.4.0:Photo Station 5.7.10(含)以後版本
QTS 4.3.0 ~ QTS 4.3.3:Photo Station 5.4.9(含)以後版本
QTS 4.2.6:Photo Station 5.2.11(含)以後版本
參考連結:
1.行政院技術服務中心公告
https://www.nccst.nat.gov.tw/VulnerabilityDetail?lang=zh&seq=1124
2.iThome報導
https://www.ithome.com.tw/news/137748
3. NVD公告
https://nvd.nist.gov/vuln/detail/CVE-2019-7192
https://nvd.nist.gov/vuln/detail/CVE-2019-7193
https://nvd.nist.gov/vuln/detail/CVE-2019-7194
https://nvd.nist.gov/vuln/detail/CVE-2019-7195
4.github漏洞驗證
https://github.com/cycraft-corp/cve-2019-7192-check
5.QNAP 官方公告
https://www.qnap.com/zh-tw/security-advisory/nas-201911-25
建議措施:
參考資料:
影響平台:
情資編號:
FISAC-202006-0005
系統目錄:
資安漏洞
資安類別:
資安訊息情資 / 其他
影響等級:
3
關鍵字: