Qnap QSA-24-31 - Vulnerability in OpenSSH ( CVE-2024-6387 ‘regreSSHion’ )

EVO

Administreur
Membre du personnel
25 Novembre 2019
8 424
1 627
278
/var/run/docker.sock
QSA-24-31 - Vulnerability in OpenSSH

  • Date de sortie : 2 juillet 2024
  • Identifiant CVE : CVE-2024-6387
  • Produits non affectés : QTS 5.1.x, 4.5.x; héros de QuTS h5.1.x, h4.5.x; QuTScloud c5.x
  • Produits affectés: QTS 5.2.0 RC, héros QuTS h5.2.0 RC

Résumé

Une vulnérabilité d'exécution de code à distance (RCE) dans OpenSSH a été rapportée comme affectant QTS 5.2.0 Release Candidate et le héros QuTS h5.2.0 Release Candidate.

QTS 5.1.x, QTS 4.5.x, QuTS hero h5.1.x, h4.5.x et QuTScloud c5.x ne sont pas affectés.

QNAP étudie activement cette question et travaille sur une solution. Nous allons résoudre le problème dans les versions officielles de QTS 5.2.0 et QuTS h5.2.0.

Recommandation

Pour les utilisateurs de QTS 5.2.0 RC et QuTS hero h5.2.0 RC, QNAP recommande de maintenir le service SSH désactivé par défaut ou de ne pas exposer le service OpenSSH à Internet.

Si vous avez vraiment besoin d'utiliser le service OpenSSH, nous vous recommandons vivement les mesures suivantes,
  • Allez au panneau de contrôle - sécurité - - IP Access Protection, et activer SSH.
  • Éviter d'utiliser le port 22 (le numéro de port par défaut pour SSH) avant de mettre à jour les versions officielles du héros QTS ou QuTS. Configuration SSH pour utiliser un numéro de port différent.

Historique de la révision:
V1.0 (2 juillet 2024) - Publiée


Traduit automatiquement de l'anglais, publication d'origine :
https://www.qnap.com/en/security-advisory/qsa-24-31