官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
据The Hacker News消息,中国台湾公司威联通(QNAP) 本周透露,旗下部分网络附加存储 (NAS) 设备正受到最近披露的开源 OpenSSL 加密库中的一个漏洞影响。
据报道,该漏洞被跟踪为CVE-2022-0778(CVSS 评分:7.5),是OpenSSL 中的一个无限循环漏洞,其原因与解析安全证书以触发拒绝服务条件,并远程使未打补丁的设备崩溃时出现的错误有关。如果被利用,该漏洞允许攻击者进行拒绝服务攻击。
目前威联通仍在调查受影响的产品型号,但已确定会影响以下系统版本:
QTS 5.0.x 及更高版本
QTS 4.5.4 及更高版本
QTS 4.3.6 及更高版本
QTS 4.3.4 及更高版本
QTS 4.3.3 及更高版本
QTS 4.2.6 及更高版本
QuTS hero h5.0.x 及更高版本
QuTS hero h4.5.4 及更高版本
QuTScloud c5.0.x
迄今为止,没有证据表明该漏洞已在野外被利用。一周前,威联通发布了 QuTS hero 安全更新(版本 h5.0.0.1949 build 20220215 及更高版本),以解决影响其设备的“ Dirty Pipe ”本地权限提升漏洞。QTS 和 QuTScloud 操作系统的补丁预计将很快发布。
参考来源:https://thehackernews.com/2022/03/qnap-warns-of-openssl-infinite-loop.html#google_vignette