QNAP发出警告,关键PHP漏洞可导致远程代码执行

2022-6-24 15:21:58 Author: www.freebuf.com(查看原文) 阅读量:14 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Security Affairs 网站披露,中国台湾著名厂商 QNAP 正在解决一个关键的PHP 漏洞,该漏洞追踪为 CVE-2019-11043(CVSS评分9.8分,满分10分),可被用来实现远程代码执行。1656055369_62b56649c93dc0d306f54.png!small?1656055369269

安全研究人员发现在 FPM 设置的某些配置中,有可能会触发与为 FCGI 协议数据保留的内存空间相关的缓冲区溢出,从而可能导致远程代码执行。

漏洞影响版本甚多

从 QNAP 发布的公告中来看,漏洞主要影响了配置不当 nginx 的 PHP 版本 7.1.x 以下7.1.33,7.2.x 以下7.2.24,和 7.3.x 以下 7.3.11。值得注意的是,如果黑客想要利用该漏洞,必须同时运行 nginx 和 php-fpm。

另外,虽然 QTS、QuTS hero 和 QuTScloud 默认没有安装 nginx,但如果用户 NAS 上安装并运行 nginx 和 php-fpm,其 QNAP NAS 仍有可能受到影响。”

CVE-2019-11043 漏洞主要影响使用以下 QNAP 操作系统版本的设备:

QTS 5.0.x及更高版本;

QTS 4.5.x及更高版本;

QuTS hero h5.0.x及更高版本;

QuTS hero h4.5.x及更高版本;

QuTScloud c5.0.x及更高版本。

QNAP 敦促用户尽快应用更新版本

目前,QNAP 指出,QTS、QuTS hero 或 QuTScloud 默认没有安装 nginx,出于这个原因,NAS 设备默认配置下不会受到影响。

供应商已在以下操作系统版本中解决了该漏洞,并将尽快发布其余操作系统版本的安全更新。

QTS 5.0.1.2034 build 20220515 及更高的版本;

QuTS hero h5.0.0.2069 build 20220614 及更高版本。

网络安全研究人员敦促 QNAP 客户保持其设备处于最新版本。QNAP 在 5 月也发布公告,警告客户新一波的 DeadBolt 勒索软件攻击可能来袭,敦促用户应用最新的安全更新。

最后,安全专家表示,有一个新的 ech0raix 勒索软件活动正在针对 QNAP 网络附加存储(NAS)设备。

参考文章:

https://securityaffairs.co/wordpress/132531/hacking/qnap-critical-php-vulnerability.html


文章来源: https://www.freebuf.com/articles/337218.html
如有侵权请联系:admin#unsafe.sh