482/66 (IT) ประจำวันพุธที่ 8 พฤศจิกายน 2566

QNAP ได้เปิดตัวการอัปเดตเพื่อแก้ไขช่องโหว่ระดับ Critical จำนวน 2 รายการที่ส่งผลกระทบต่อระบบปฏิบัติการที่สามารถ arbitrary code execution โดยช่องโหว่แรกคือ CVE-2023-23368 ( คะแนน CVSS: 9.8 ) ช่องโหว่นี้เป็นช่องโหว่ของการแทรกคำสั่งที่ส่งผลต่อ QTS, QuTS hero และ QuTScloud หากถูกโจมตีช่องโหว่ดังกล่าวอาจทำให้ผู้โจมตีจากระยะไกลสามารถรันคำสั่งผ่านเครือข่ายได้
– QTS 5.0.x (แก้ไขแล้วในเวอร์ชัน QTS 5.0.1.2376 build 20230421 ขึ้นไป)
– QTS 4.5.x (แก้ไขแล้วในเวอร์ชัน QTS 4.5.4.2374 build 20230416 ขึ้นไป)
– QuTS hero h5.0.x (แก้ไขแล้วในเวอร์ชัน QuTS hero h5.0.1.2376 build 20230421 ขึ้นไป)
– QuTS hero h4.5.x (แก้ไขแล้วในเวอร์ชัน QuTS hero h4.5.4.2374 build 20230417 ขึ้นไป)
– QuTScloud c5.0.x (แก้ไขแล้วในเวอร์ชัน QuTScloud c5.0.1.2374 ขึ้นไป)
นอกจากนี้ QNAP ยังได้แก้ไขช่องโหว่ในการแทรกคำสั่งใน QTS, Multimedia Console และโปรแกรมเสริม Media Streaming ที่ช่องโหว่ CVE-2023-23369 ( คะแนน CVSS: 9.0 ) ที่อาจทำให้ผู้โจมตีจากระยะไกลสามารถรันคำสั่งผ่านเครือข่ายได้ซึ่งซอฟต์แวร์เวอร์ชันต่อไปนี้ได้รับผลกระทบ
– QTS 5.1.x (แก้ไขแล้วในเวอร์ชัน QTS 5.1.0.2399 build 20230515 ขึ้นไป)
– QTS 4.3.6 (แก้ไขแล้วในเวอร์ชัน QTS 4.3.6.2441 build 20230621 ขึ้นไป)
– QTS 4.3.4 (แก้ไขแล้วในเวอร์ชัน QTS 4.3.4.2451 build 20230621 ขึ้นไป)
– QTS 4.3.3 (แก้ไขแล้วในเวอ ร์ชันQTS 4.3.3.2420 build 20230621 ขึ้นไป)
– QTS 4.2.x (แก้ไขแล้วในเวอร์ชันQTS 4.2.6 รุ่น 20230621 ขึ้นไป)
– Multimedia Console 2.1.x (แก้ไขในเวอร์ชันMultimedia Console 2.1.2 (2023/05/04) ขึ้นไป)
– Multimedia Console 1.4.x (แก้ไขในเวอร์ชัน Multimedia Console 1.4.8 (2023/05/05) ขึ้นไป)
– โปรแกรมเสริม Media Streaming 500.1.x (แก้ไขแล้วในเวอร์ชัน Media Streaming add-on 500.1.1.2 (2023/06/12) ขึ้นไป)
– Media Streaming add-on 500.0.x (แก้ไขแล้วในเวอร์ชัน Media Streaming add-on 500.0.0.11 (2023/06/16) ขึ้นไป)
เนื่องจากอุปกรณ์ QNAP เคยถูกโจมตีจากการโจมตีด้วย Ransomware ดังนั้นผู้ใช้งานที่ใช้เวอร์ชันใดเวอร์ชันหนึ่งข้างต้นควรอัปเดตเป็นเวอร์ชันล่าสุดเพื่อป้องกันภัยคุกคามที่อาจเกิดขึ้น
แหล่งข่าว https://thehackernews.com/2023/11/qnap-releases-patch-for-2-critical.html