檔案同步工具Qsync測出XSS瑕疵,宜安裝QNAP更新版本

圖片來源:https://www.qnap.com/zh-tw/utilities/essentials

威聯通以Linux為基礎,研發專屬Turbo NAS作業系統QTS,並搭配Qsync檔案同步工具,Qsync Client操作者將檔案拖至Qsync資料夾後,NAS端Qsync Central Station會讓其他連線中Client(桌機或行動裝置)同步更新檔案,經研究員Marcin Zieba分析,指出一項高危險程度的跨站台腳本漏洞,恐讓攻擊者遠端注入惡意JavaScript碼,干擾數版Qsync Central在不同QTS環境上作業安全性,據11月29日QNAP Systems官方公告,已升級相關Qsync Central,可按本文所述步驟執行更新。

影響產品:

  • QTS 4.2.6 build 20180711以前版本
  • Qsync Central 3.0.2以前版本
  • Qsync Central 3.0.3以前版本
  • Qsync Central 3.0.4以前版本

解決辦法:

  • 更新QTS 4.2.6步驟:瀏覽控制台à系統à韌體更新,按下檢查更新,自動執行後續下載&安裝。
  • 更新Qsync Central 3.0.2.01、0.3.01、3.0.4.01步驟:管理者開啟App Centerà搜尋Qsync Centralà搜尋清單顯示最新版號à確認更新。

資料來源:

回到頂端