QNAP 新闻室

中国，上海，2024 年 5 月 21 日 - 威联通®科技（QNAP）致力于维护产品的最高安全标准。近期我们收到了 WatchTowr Labs 发布的关于 QTS 操作系统中的多个弱点报告。我们希望对此报告作补充说明，以概述我们如何解决这些问题。

解决报告中的 QTS 弱点

我们感谢安全研究人员在寻找我们产品中潜在的安全弱点所作出的努力。我们已经修复了 CVE ID 在报告中已被确认的弱点，其中四个弱点（CVE-2023-50361，CVE-2023-50362，CVE-2023-50363，CVE-2023-50364）已于 2024 年 4 月份发行的 QTS 5.1.6 / QuTS hero h5.1.6 修正，而其他已被确认的弱点（CVE-2024-21902，CVE-2024-27127，CVE-2024-27128，CVE-2024-27129，CVE-2024-27130）已于今日（北京时间 5 月 21 日）发行的 QTS 5.1.7 / QuTS hero h5.1.7 版本中修正。

详细如下：

• CVE-2024-27131：此功能改善需要在 QuLog Center 中更改 UI 设计。这不是实际的弱点，而是一个设计选择，仅影响内部网络使用场景。这个功能改善将在 QTS 5.2.0 / QuTS hero h5.2.0 中发行。
• WT-2023-0050：此问题仍在审查中，尚未确认为有效弱点。我们正在与研究人员密切合作以清查其状态。
• WT-2024-0004 和 WT-2024-0005：这些问题也正在审查中，我们正在与研究人员进行积极讨论以彻查问题。
• WT-2024-0006：此问题已被分配 CVE ID，并将在即将推出的版本中解决。

CVE-2024-27130 弱点

WatchTowr ID WT-2023-0054 报告中公布的 CVE-2024-27130 弱点是由于在 No_Support_ACL 功能中不安全地使用 'strcpy' 函数所致，当外部用户使用分享链接存取文件时，该功能被 share.cgi 中的 get_file_size 请求所使用。要利用此弱点，攻击者需要有效的 'ssid' 参数，该参数是当 NAS 用户从其 QNAP NAS 建立分享链接时生成的。

所有的 QTS / QuTS hero (h)4.x 和 (h)5.x 版本都默认启用了地址空间配置随机加载（Address space layout randomization，ASLR）。ASLR 显著增加了攻击者利用此弱点的难度。因此，我们将其严重性评估为中等。尽管如此，我们仍然强烈建议用户立即更新至 QTS 5.1.7 / QuTS hero h5.1.7，以确保 NAS 系统受到保护。

对安全的承诺

QNAP PSIRT 一直以来积极地与安全研究人员合作，对弱点进行分类和修复。对于可能发生的产品发布时间表和这些弱点披露之间的协调问题，我们深感遗憾。我们正在采取措施改进我们的流程和协调方式，以防止类似问题再次发生。

未来，对于被分类为高或关键严重性的弱点，我们承诺在 45 天内完成修复并发布修复程序。对于中等严重性的弱点，我们将在 90 天内完成修复并发布修复程序。

我们对此可能引起的任何不便深表歉意，我们将不断改善安全设计，并与全球的研究人员密切合作，确保我们产品拥有最高安全质量。

为了保护您的 NAS 系统与数据，我们建议定期将系统更新至最新版本以获得最新的弱点修复。您可以查看产品支持状态了解您的 NAS 型号的最新支持状态。

QNAP 产品资安事件应对团队（PSIRT）
安全建议

• QSA-24-20
• QSA-24-23