Критическая PHP-уязвимость позволяет удалённо выполнить код на QNAP NAS
Главная » Новости

Критическая PHP-уязвимость позволяет удалённо выполнить код на QNAP NAS

Екатерина Быстрова 23 Июня 2022 - 10:15
...
Критическая PHP-уязвимость позволяет удалённо выполнить код на QNAP NAS

Тайваньский производитель сетевых хранилищ (NAS) QNAP на этой неделе предупредил пользователей о критической уязвимости PHP, которую можно использовать для удалённого выполнения кода. Разработчики в настоящее время готовят патч.

Согласно официальному уведомлению вендора, трёхлетняя брешь затрагивает PHP версий  7.1.x (до 7.1.33), 7.2.x (до 7.2.24) и 7.3.x (до 7.3.11). Проблема кроется в некорректной конфигурации nginx.

Уязвимость получила идентификатор CVE-2019-11043 и 9,8 балла из 10 по шкале CVSS. Для успешной эксплуатации должны быть запущены Nginx и php-fpm в следующих версиях операционной системы QNAP:

  • QTS 5.0.x и более поздние версии.
  • QTS 4.5.x и более поздние.
  • QuTS hero h5.0.x и более поздние.
  • QuTS hero h4.5.x и более поздние.
  • QuTScloud c5.0.x и более поздние.

«В QTS, QuTS hero и QuTScloud нет установленного nginx по умолчанию, так что в изначальном состоянии QNAP NAS не затронуты упомянутой уязвимостью», — подчёркивает QNAP.

Напомним, что пользователям QNAP NAS докучает программа-вымогатель DeadBolt, счёт жертвам которой в конце января уже пошёл на тысячи. Операторы шифровальщика, к слову, предлагали QNAP выкупить мастер-ключ за 50 BTC.

Следующая главная новость »
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Обновление WinAppSDK сломало механизм деинсталляции в Windows 10
Екатерина Быстрова 22 Ноября 2024 - 17:45
Windows Ошибки конфигурации программ Домашние пользователиКорпорации Microsoft
Обновление WinAppSDK сломало механизм деинсталляции в Windows 10

C 12 ноября ряд пользователей Windows 10 столкнулись с проблемой обновления и деинсталляции пакетных приложений вроде Microsoft Teams. Microsoft подтвердила наличие бага и отозвала обновление WinAppSDK.

Судя по всему, проблема вызвана пакетом WinAppSDK версии 1.6.2, которая автоматом установилась в системы пользователей после инсталляции приложения, разработанного с использованием Win App SDK.

На затронутых устройствах, работающих под управлением Windows 10 22H2, выводилась ошибка «Something happened on our end» в разделе «Загрузки» Microsoft Store.

«Если вы системный администратор и пытаетесь управлять приложениями через PowerShell с помощью команды “Get-AppxPackage“, система может выдать вам ошибку “Deployment failed with HRESULT: 0x80073CFA“», — объясняет Microsoft.

«Вы также можете столкнуться с проблемами обновления или переустановки Microsoft Teams и других сторонних приложений».

Корпорация пока отозвала проблемную версию WinAppSDK 1.6.2. Один из разработчиков Майк Кридер уточнил, что фикс стоит ждать с выходом WinAppSDK 1.6.3.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Шпион LightSpy научился стирать данные на iPhone и подвешивать систему
Новость
Шпион LightSpy научился стирать данные на iPhone и подвешива...
Российские госкомпании продолжают покупать продукты Microsoft в обход
Новость
Российские госкомпании продолжают покупать продукты Microsof...
Максут Шадаев раскрыл подробности блока ИБ в новом нацпроекте
Новость
Максут Шадаев раскрыл подробности блока ИБ в новом нацпроект...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2024. Все права защищены.