地址:联系地址联系地址联系地址
电话:020-123456789
传真:020-123456789
邮箱:admin@aa.com
编辑 :左右里
台湾网络附属存储(NAS)设备制造商威联通QNAP于周三表示,它正在修复一个已经存在三年的漏临远关键PHP漏洞(编号为CVE-2019-11043 ,CVSS评分9.8),洞使该漏洞可能被滥用以实现远程代码执行 。威联
遭披露的通设该漏洞的影响范围为:PHP版本低于7.1.33的7.1.x,低于7.2.24的备面7.2.x,低于7.3.11的程代7.3.x,并且nginx配置不正确。码执在 FPM 设置的行风险某些配置中,可能会触发与为 FCGI 协议数据保留的严重内存空间相关的缓冲区溢出漏洞,从而导致远程代码执行 。漏临远
CVE-2019-11043 漏洞会影响使用以下 QNAP 操作系统版本的洞使设备:
QTS 5.0.x 及更高版本;
QTS 4.5.x 及更高版本;
QuTS hero h5.0.x 及更高版本;
QuTS hero h4.5.x 及更高版本;
QuTScloud c5.0.x 及更高版本。
要利用这个漏洞 ,威联需要nginx和php-fpm都在运行 。通设威联通指出,备面QTS 、QuTS hero 和 QuTScloud 在默认情况下没有安装 nginx ,因此NAS 设备在默认配置中不受影响 。但如果用户已经在 NAS 上安装并运行 nginx 和 php-fpm,则很可能受到影响 。
威联通表示已解决以下操作系统版本中的漏洞:
QTS 5.0.1.2034 build 20220515 及更高版本;
QuTS hero h5.0.0.2069 build 20220614 及更高版本 。
并将尽快发布其余操作系统版本的安全更新。
值得注意的是 ,据报道最近存在针对威联通网络附属存储 (NAS) 设备的新 ech0raix 勒索软件活动。在5月份 ,威联通也警告了客户有新一波DeadBolt勒索软件攻击 ,并敦促他们安装最新更新。
除了敦促客户升级到最新版本的QTS或QuTS hero操作系统 ,威联通还建议这些设备不要暴露在互联网上 。
资讯来源:thehackernews
转载请注明出处和本文链接
每日涨知识
暗链
也称黑链,是黑帽SEO的作弊手法之一。目的就是利用高权重网站外链来提升自身站点排名。暗链是由攻击者入侵网站后植入的,且在网页上不可见或极易被忽略 。但是搜索引擎仍然可以通过分析网页的源代码收录这些链接,以此迅速提高自身网站权重 ,获得高额流量 。
地址:联系地址联系地址联系地址
电话:020-123456789
传真:020-123456789
邮箱:admin@aa.com
0.2924