QNAP建议在补丁可用之前减少远程黑客漏洞

网络连接存储（NAS）设备制造商QNAP周三表示，在NetTalk上个月发布了包含其软件中七个安全缺陷的补丁后，公司正在更新其QTS和QuTS操作系统。

NetTalk是Apple归档协议（AFP）的开源实现，允许类Unix操作系统作为Apple macOS计算机的文件服务器。

2022年3月22日，其维护人员发布了该软件的3.1.13版，以解决主要的安全问题，CVE-2021-31439、CVE-2022-23121、CVE-2022-23122、CVE-2022-23123、CVE-2022-23124、CVE-2022-23125和CVE-2022-0194和8212；可以利用它来实现任意代码执行。

NCC集团的研究人员上个月指出：“这个漏洞【CVE-2022-23121】可以远程利用，不需要身份验证”。“它允许攻击者以NAS上“无人”用户的身份远程执行代码。该用户可以访问通常需要身份验证的私有共享。”

QNAP指出，NetTalk漏洞会影响以下操作系统版本-

• QTS 5.0。x及更高版本
• QTS 4.5.4及更高版本
• QTS 4.3.6及更高版本
• QTS 4.3.4及更高版本
• QTS 4.3.3及更高版本
• QTS 4.2.6及更高版本
• QuTS hero h5.0。x及更高版本
• QuTS hero h4.5.4及更高版本

在更新可用之前，这家台湾公司建议用户禁用AFP。到目前为止，缺陷已在QTS 4.5.4.2012 build 20220419及更高版本中修复。

在QNAP表示正在调查其产品阵容，以了解上个月Apache HTTP服务器中解决的两个安全漏洞可能产生的影响后不到一周，就出现了这一披露。