[情資發布]QNAP修補產品受到Rsync漏洞影響說明與建議
情資卡編號:
TCCY-RCDC-200-202501-0000063
事件主旨:
QNAP修補產品受到Rsync漏洞影響說明與建議
內容說明:
一、概述:
QNAP於2025年1月23日發布安全公告,說明產品受到Rsync檔案同步工具多個漏洞影響,這些漏洞是CERT/CC於1月14日所發布,在Rsync 3.3.0及之前版本存的6個漏洞,包括CVE-2024-12084、CVE-2024-12085、CVE-2024-12086、CVE-2024-12087、CVE-2024-12088 及CVE-2024-12747,其中CVE-2024-12084,CVSS評分9.8,由於Rsync daemon校驗和長度處理不當而產生的漏洞,導致緩衝區寫入越界,攻擊者可以執行任意程式碼(請參閱本公司發布之文件:F0202_1349.Rsync檔案同步工具嚴重漏洞修補說明與建議)。
Rsync是一個開源檔案同步工具,支援透過其daemon直接檔案同步、 進行SSH傳輸及節省時間和頻寬的增量傳輸,許多備份解決方案(例如Rclone、DeltaCopy和ChronoSync)、雲端、伺服器管理作業,以及公用檔案發送廣泛使用。
QNAP說明這些漏洞影響HBS 3 Hybrid Backup Sync 25.1.x,這是該公司的資料備份和災難復原解決方案,支援本地、遠端和雲端儲存服務,建議客戶將其軟體更新至最新版本。
二、影響範圍:
HBS 3 Hybrid Backup Sync 25.1.x
風險等級:
3
建議措施:
請更新至HBS 3 Hybrid Backup Sync 25.1.4.952或之後版本
相關資訊請參閱以下網址:
https://www.qnap.com/en-us/security-advisory/qsa-25-02