Alerte : 3 failles de sécurité chez QNAP

FX Cachem

Administreur
Membre du personnel
8 Décembre 2013
13 551
519
203
Paris
www.cachem.fr
3 failles ont été découvertes dans QTS 4.2... Combinées, elles permettent à un pirate de s'attribuer les droits admin sur le NAS. Désactivez la mise à jour automatique de QTS et appliquez les mises à jour (issues du site officiel) manuellement... en attendant un correctif QNAP.
failles-pirates.jpg

Pour en savoir plus...

QTS 4.3 n'est peut-être pas vulnérable, mais dans le doute...
 
En effet, ce n'est pas facile à mettre en place à distance (MITM ça demande un accès au réseau local, sur un NAS qui ne bouge pas, pas facile) mais c'est assez critique... Mais je m'interroge : En cas d'update dispo, le nas previent qu'une mise à jour est dispo mais ne l'installe pas seul, l'utilisateur doit intervenir quand même non ? ou bien une des 3 consiste à justement se passer de ça ?
 
Oui donc si à chaque fois tu regardes les patchs notes, ect ... tu vois bien le soucis mais en allant vite oui ça peut passer par inadvertance. En tout cas faudra surveiller la suite que donne QNAP à ça, surtout si ils sont réellement au courant depuis 1 an.
 
Et bien oui...sans rentrer dans les détails, j'en suis pas à ma 1ere remontée de soucis chez QNAP, et je peux dire que autant l'étape SAV FR, avec Qoolbox notamment, se passe très bien, autant le niveau après c'est pas la joie, et c'est globalement long pour avoir une correction donc il se peut très bien que la communication soit mal passée oui.
 
QNAP a été très rapide… la page dédiée aux failles a été mise à jour et le constructeur de NAS annonce une correction de QTS 4.2.3 pour le 24 janvier et QTS 4.3.3 Beta 1 pour le 20 février
 
Merci pour l'info.

QNAP a été très rapide avec une MAJ prévue pour le 20 Février, sois j'ai mal compris sois je n'ai pas la même notion de rapide lol

Pour les débutants comme moi, voici comment désactiver la MAJ automatique ( je suis en QTS 4.3 ):

Allez dans PANNEAU DE CONTROLE / Mise à jour du micrologiciel / Décochez et appliquez Vérifier automatiquement si une version plus récente est disponible en se connectant à l'interface d'administration web du NAS
 
Ishido a dit:
Merci pour l'info.

QNAP a été très rapide avec une MAJ prévue pour le 20 Février, sois j'ai mal compris sois je n'ai pas la même notion de rapide lol

Pour les débutants comme moi, voici comment désactiver la MAJ automatique ( je suis en QTS 4.3 ):

Allez dans PANNEAU DE CONTROLE / Mise à jour du micrologiciel / Décochez Vérifier automatiquement si une version plus récente est disponible en se connectant à l'interface d'administration web du NAS

QTS 4.3 est en Beta pour rappel, normal que la stable soit privilègiée... on utilise pas une beta en production :geek:
 
Hello :)

Oui en effet mais cela change quoi Beta ou non, il y a bien des utilisateurs qui l'ont vu qu'elle est dispo ? Donc vulnérable à cette faille de sécurité jusqu'au 20 Février sauf si ils s'intéressent aux news QNAP et font la démarche de désactiver l'update auto. Je comprend pas l’intérêt de ne pas corriger la faille pendant ce laps de temps.

Je ne sais pas si c'est possible, mais quand on se connecte sur le " bureau " de connexion QNAP , ça serait bien d'avoir une alerte pour ce genre de soucis :)

Merci :)
 
qui va être le premier à spoofer le DNS de Qnap sans que cela se voient et réécrire un firmware... :lol:

je demande à voir ...

mais bon c'est une faille, elle doit être comblée :twisted:
 
Ce qui est quand même inquiétant est que Qnap est au courant depuis février 2016, il a fallu quasiment 1 an pour avoir un correctif, même si elle n'était pas simple à utiliser. Le principal c'est que le correctif sort.


Envoyé de mon iPhone en utilisant Tapatalk
 
Spartanineo a dit:
Ce qui est quand même inquiétant est que Qnap est au courant depuis février 2016, il a fallu quasiment 1 an pour avoir un correctif, même si elle n'était pas simple à utiliser. Le principal c'est que le correctif sort.
Personnellement, je trouve cela très surprenant aussi... soit c'est un loupé (il faut peut-être revoir cette partie) , soit c'est une faute grave pour le responsable (stagiaire). Surtout que QNAP propose une page dédiée aux bulletins de sécurité. Mais comme tu dis, le principal c'est que le patch va sortir.