威聯通以Linux為基礎,研發專屬Turbo NAS作業系統QTS,並搭配Qsync檔案同步工具,Qsync Client操作者將檔案拖至Qsync資料夾後,NAS端Qsync Central Station會讓其他連線中Client(桌機或行動裝置)同步更新檔案,經研究員Marcin Zieba分析,指出一項高危險程度的跨站台腳本漏洞,恐讓攻擊者遠端注入惡意JavaScript碼,干擾數版Qsync Central在不同QTS環境上作業安全性,據11月29日QNAP Systems官方公告,已升級相關Qsync Central,可按本文所述步驟執行更新。
影響產品:
- QTS 4.2.6 build 20180711以前版本
- Qsync Central 3.0.2以前版本
- Qsync Central 3.0.3以前版本
- Qsync Central 3.0.4以前版本
解決辦法:
- 更新QTS 4.2.6步驟:瀏覽控制台à系統à韌體更新,按下檢查更新,自動執行後續下載&安裝。
- 更新Qsync Central 3.0.2.01、0.3.01、3.0.4.01步驟:管理者開啟App Centerà搜尋Qsync Centralà搜尋清單顯示最新版號à確認更新。
資料來源:
- https://www.qnap.com/zh-tw/security-advisory/nas-201811-29
- https://nvd.nist.gov/vuln/detail/CVE-2018-0716
- https://www.qnap.com/zh-tw/utilities/essentials
- https://docs.qnap.com/nas/4.2/SMB/tc/index.html?qsync.htm
