Qnap, Synology и TrueNAS исправляют уязвимости, показанные на Pwn2Own - «Новости» » Самоучитель CSS
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
1-11-2024, 00:01
Qnap, Synology и TrueNAS исправляют уязвимости, показанные на Pwn2Own - «Новости»
Рейтинг:
Категория: Новости

Хотя хакерское соревнование Pw2Own завершилось только в прошлые выходные, и у компаний есть 90 дней на выпуск патчей для показанных там уязвимостей (после чего Trend Micro Zero Day Initiative раскроет данные о проблемах, обнаруженных в ходе конкурса), разработчики Synology, QNAP и TrueNAS уже приступили к исправлению свежих 0-day.


Первым багом, который устранила компания Qnap, стала критическую уязвимость нулевого дня, использованную исследователями для взлома NAS TS-464. Эта проблема позволяла злоумышленникам удаленно выполнять произвольные команды и получила идентификатор CVE-2024-50388. Она связана с внедрения команд в HBS 3 Hybrid Backup Sync (версии 25.1.x) —  решение компании для аварийного восстановления и резервного копирования данных.


Ошибка устранена в составе HBS 3 Hybrid Backup Sync 25.1.1.673 и более поздних версиях.


С помощью этого бага специалисты из команды Viettel Cyber ​​Security смогли выполнить произвольный код и получили права администратора на устройстве в первый и третий день Pwn2Own Ireland 2024.


Вторая проблема, исправленная Qnap, это критическая уязвимость, позволяющая осуществлять SQL-инъекции (SQLi). Этот баг получил идентификатор CVE-2024-50387 и был обнаружена в службе SMB.


Ошибка исправлена ​​в версиях 4.15.002 и более поздних, а также h4.15.002 и более поздних.


На Pwn2Own Ireland 2024 специалисты команды DEVCORE сумели получить root shell и перехватили управление устройством NAS TS-464 с помощью этого бага.


Разработчики Synology тоже опубликовали два бюллетеня безопасности, в которых информируют клиентов о том, что критические уязвимости, использованные на Pwn2Own против продуктов компании, уже исправлены. В частности, были устранены баги удаленного выполнения кода в Photos для DMS и BeePhotos для BeeStation.


Что касается TrueNAS, компания сообщила, что уже работает над исправлениями для 0-day, которые показали на Pwn2Own. При этом в компании подчеркнули, что уязвимости можно эксплуатировать только с настройками по умолчанию, то есть на плохо защищенных девайсах.  Если же следовать рекомендациям, изложенным в руководстве по безопасности TrueNAS, риски значительно снижаются.


Хотя хакерское соревнование Pw2Own завершилось только в прошлые выходные, и у компаний есть 90 дней на выпуск патчей для показанных там уязвимостей (после чего Trend Micro Zero Day Initiative раскроет данные о проблемах, обнаруженных в ходе конкурса), разработчики Synology, QNAP и TrueNAS уже приступили к исправлению свежих 0-day. Первым багом, который устранила компания Qnap, стала критическую уязвимость нулевого дня, использованную исследователями для взлома NAS TS-464. Эта проблема позволяла злоумышленникам удаленно выполнять произвольные команды и получила идентификатор CVE-2024-50388. Она связана с внедрения команд в HBS 3 Hybrid Backup Sync (версии 25.1.x) — решение компании для аварийного восстановления и резервного копирования данных. Ошибка устранена в составе HBS 3 Hybrid Backup Sync 25.1.1.673 и более поздних версиях. С помощью этого бага специалисты из команды Viettel Cyber ​​Security смогли выполнить произвольный код и получили права администратора на устройстве в первый и третий день Pwn2Own Ireland 2024. Вторая проблема, исправленная Qnap, это критическая уязвимость, позволяющая осуществлять SQL-инъекции (SQLi). Этот баг получил идентификатор CVE-2024-50387 и был обнаружена в службе SMB. Ошибка исправлена ​​в версиях 4.15.002 и более поздних, а также h4.15.002 и более поздних. На Pwn2Own Ireland 2024 специалисты команды DEVCORE сумели получить root shell и перехватили управление устройством NAS TS-464 с помощью этого бага. Разработчики Synology тоже опубликовали два бюллетеня безопасности, в которых информируют клиентов о том, что критические уязвимости, использованные на Pwn2Own против продуктов компании, уже исправлены. В частности, были устранены баги удаленного выполнения кода в Photos для DMS и BeePhotos для BeeStation. Что касается TrueNAS, компания сообщила, что уже работает над исправлениями для 0-day, которые показали на Pwn2Own. При этом в компании подчеркнули, что уязвимости можно эксплуатировать только с настройками по умолчанию, то есть на плохо защищенных девайсах. Если же следовать рекомендациям, изложенным в руководстве по безопасности TrueNAS, риски значительно снижаются.

Теги: Новости, 0day, NAS

Просмотров: 97
Комментариев: 0:   1-11-2024, 00:01
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: