Commentaires : Vous avez un NAS QNAP ? Mettez-le à jour maintenant!

S’il est connecté en permanence au réseau, un NAS se doit d’être suivi de manière très régulière par son administrateur.

Quand à faire un article autant être précis parce que « les versions de QTS 5.0.x ».
Ba c’est dommage la dernière stable est une 5.0.x et elle a été release en mai…

Du coup l’article ne donne aucune indication sur quelle version n’est plus impactée.
A moins que QNAP n’ai pas encore de correctif.

Ca fait pas mal de jours que la dernière « alerte » et la dernière maj contenant pas mal de mise à jour de sécurité est sortie

Clubic n’a pas l’air très en avance sur cette info

QuanT à faire… :sleepy:

Effectivement…

La dernière build date de début juin, le 8 exactement, et c’est la QTS 5.0.0.2055 build 20220531 : https://www.qnap.com/fr-fr/release-notes/qts/5.0.0.2055/20220531
Rien de bien extraordinaire par rapport à d’habitude. Mais il est clair qu’à l’heure actuelle il vaut mieux surveiller les MAJ de tout matériel connecté.

même la beta 5.0.1.2034 est concernée puisqu’on parle de 5.0.X ? Voici ce que dit qnap :

A vulnerability has been reported to affect PHP versions 7.1.x below 7.1.33, 7.2.x below 7.2.24, and 7.3.x below 7.3.11 with improper nginx configuration. If exploited, the vulnerability allows attackers to gain remote code execution.

For the vulnerability to be exploited, both nginx and php-fpm must be running. While QTS, QuTS hero, and QuTScloud do not have nginx installed by default, your QNAP NAS may still be affected if you have installed and are running nginx and php-fpm on your NAS.

If your QNAP NAS is running nginx and php-fpm, the vulnerability affects the following QNAP operating system versions:
QTS 5.0.x
QTS 4.5.x
QuTS hero h5.0.x
QuTS hero h4.5.x
QuTScloud c5.0.x

We have already fixed this vulnerability in the following OS versions:
QTS 5.0.1.2034 build 20220515 and later
QuTS hero h5.0.0.2069 build 20220614 and later

We will release security updates for the remaining OS versions as soon as possible.

Elle date du 20220531 plus exactement :wink: