QNAP NAS 多個漏洞

影響

• 遠端執行程式碼
• 資料洩露
• 繞過保安限制

受影響之系統或技術

• NVR Storage Expansion 1.0.6 (2021/08/03) 之前的版本
• QGD-1600P: QuNetSwitch 1.0.6.1509 之前的版本
• QGD-1602P: QuNetSwitch 1.0.6.1509 之前的版本
• QGD-3014PT: QuNetSwitch 1.0.6.1519 之前的版本
• QSW-M2116P-2T2S 1.0.6 build 210713 之前的版本
• QTS 4.3.3.1693 build 20210624 之前的版本
• QTS 4.3.6.1750 build 20210730 之前的版本
• QTS 4.3.6: QUSBCam2 1.1.4 ( 2021/07/30 ) 之前的版本
• QTS 4.5.4.1715 build 20210630 之前的版本
• QTS 4.5.4: QUSBCam2 1.1.4 (2021/07/30) 之前的版本
• QTS 5.0.0.1716 build 20210701 之前的版本
• QuTS hero h4.5.3: QUSBCam2 1.1.4 (2021/07/30) 之前的版本
• QuTS hero h4.5.4.1771 build 20210825 之前的版本
• QuTScloud c4.5.6.1755 build 20210809 之前的版本
• QuTScloud c4.5.6.1755 之前的版本

解決方案

在安裝軟體之前，請先瀏覽供應商之網站，以獲得更多詳細資料。

• 安裝供應商提供的修補程式：
  NVR Storage Expansion 1.0.6 (2021/08/03) 及之後的版本
  QGD-1600P: QuNetSwitch 1.0.6.1509 及之後的版本
  QGD-1602P: QuNetSwitch 1.0.6.1509 及之後的版本
  QGD-3014PT: QuNetSwitch 1.0.6.1519 及之後的版本
  QSW-M2116P-2T2S 1.0.6 build 210713 及之後的版本
  QTS 4.3.3.1693 build 20210624 及之後的版本
  QTS 4.3.6.1750 build 20210730 及之後的版本
  QTS 4.3.6: QUSBCam2 1.1.4 ( 2021/07/30 ) 及之後的版本
  QTS 4.5.4.1715 build 20210630 及之後的版本
  QTS 4.5.4: QUSBCam2 1.1.4 (2021/07/30) 及之後的版本
  QTS 5.0.0.1716 build 20210701 及之後的版本
  QuTS hero h4.5.3: QUSBCam2 1.1.4 (2021/07/30) 及之後的版本
  QuTS hero h4.5.4.1771 build 20210825 及之後的版本
  QuTScloud c4.5.6.1755 及之後的版本
  QuTScloud c4.5.6.1755 build 20210809 及之後的版本

更新 QTS、QuTS hero 或 QuTScloud

1. 以管理員身份登入 QTS、QuTS hero 或 QuTScloud。
2. 轉到控制面板 > 系統 > 韌體更新。
3. 在自動更新下，點擊檢查更新。
   QTS、QuTS hero 或 QuTScloud 下載並安裝最新的可用更新。

提示：你可以從 QNAP 網站下載更新。轉到 支援 > 下載中心，然後為你的設備執行手動更新。

更新 QUSBCam2、NVR Storage Expansion或 QuNetSwitch

1. 以管理員身份登入 QTS 或 QuTS hero。
2. 打開應用中心，然後點擊。
   出現一個搜索框。
3. 輸入“QUSBCam2”、“NVR Storage Expansion” 或 “QuNetSwitch”，然後按 Enter。
   QUSBCam2、NVR Storage Expansion 或 QuNetSwitch 出現在搜索結果中。
4. 點擊更新。
   出現一條確認訊息。
   注意：如果你的 QUSBCam2、NVR Storage Expansion 或 QuNetSwitch 已經是最新的，則更新按鈕不能被點擊。
5. 點擊確定。
   應用程序已更新。

漏洞識別碼

• CVE-2018-19957
• CVE-2021-28813
• CVE-2021-28816
• CVE-2021-34343
• CVE-2021-34344
• CVE-2021-34345
• CVE-2021-34346

資料來源

• QNAP
• SecurityWizardry

相關連結

• https://www.securitywizardry.com/the-radar-page/alert-details#alerts
• https://www.qnap.com/en/security-advisory/qsa-21-03
• https://www.qnap.com/en/security-advisory/qsa-21-33
• https://www.qnap.com/en/security-advisory/qsa-21-34
• https://www.qnap.com/en/security-advisory/qsa-21-36
• https://www.qnap.com/en/security-advisory/qsa-21-37