QSA-24-31 - Vulnerability in OpenSSH
QTS 5.1.x, QTS 4.5.x, QuTS hero h5.1.x, h4.5.x et QuTScloud c5.x ne sont pas affectés.
QNAP étudie activement cette question et travaille sur une solution. Nous allons résoudre le problème dans les versions officielles de QTS 5.2.0 et QuTS h5.2.0.
Si vous avez vraiment besoin d'utiliser le service OpenSSH, nous vous recommandons vivement les mesures suivantes,
Historique de la révision:
V1.0 (2 juillet 2024) - Publiée
Traduit automatiquement de l'anglais, publication d'origine : https://www.qnap.com/en/security-advisory/qsa-24-31
- Date de sortie : 2 juillet 2024
- Identifiant CVE : CVE-2024-6387
- Produits non affectés : QTS 5.1.x, 4.5.x; héros de QuTS h5.1.x, h4.5.x; QuTScloud c5.x
- Produits affectés: QTS 5.2.0 RC, héros QuTS h5.2.0 RC
Résumé
Une vulnérabilité d'exécution de code à distance (RCE) dans OpenSSH a été rapportée comme affectant QTS 5.2.0 Release Candidate et le héros QuTS h5.2.0 Release Candidate.QTS 5.1.x, QTS 4.5.x, QuTS hero h5.1.x, h4.5.x et QuTScloud c5.x ne sont pas affectés.
QNAP étudie activement cette question et travaille sur une solution. Nous allons résoudre le problème dans les versions officielles de QTS 5.2.0 et QuTS h5.2.0.
Recommandation
Pour les utilisateurs de QTS 5.2.0 RC et QuTS hero h5.2.0 RC, QNAP recommande de maintenir le service SSH désactivé par défaut ou de ne pas exposer le service OpenSSH à Internet.Si vous avez vraiment besoin d'utiliser le service OpenSSH, nous vous recommandons vivement les mesures suivantes,
- Allez au panneau de contrôle - sécurité - - IP Access Protection, et activer SSH.
- Éviter d'utiliser le port 22 (le numéro de port par défaut pour SSH) avant de mettre à jour les versions officielles du héros QTS ou QuTS. Configuration SSH pour utiliser un numéro de port différent.
Historique de la révision:
V1.0 (2 juillet 2024) - Publiée
Traduit automatiquement de l'anglais, publication d'origine : https://www.qnap.com/en/security-advisory/qsa-24-31
