QNAP waarschuwt voor lek in PHP in apparatuur
NAS-apparatuur van fabrikant QNAP is door aanvallers te misbruiken vanwege een kwetsbaarheid in PHP die al in 2019 ontdekt is. Hackers kunnen de NAS misbruiken door op afstand code uit te voeren. De kwetsbaarheid, gekenmerkt met de naam CVE-2019-11043, werd al in 2019 ontdekt. Voor verschillende Linux-distributies verschenen destijds vrij snel beveiligingsupdates. In PHP-versies lager dan 7.1.33, 7.2.24, 7.3.11 in bepaalde FPM-configuraties was het mogelijk om afstand code uit te voeren.
Deze week meldt Qnap dat de kwetsbaarheid ook aanwezig is in verschillende versies van QTS, QuTS hero en QuTScloud. Dit zijn de besturingssystemen waar QNAP NAS-systemen op draaien die ook van PHP gebruikmaken.
De NAS-ontwikkelaar en fabrikant heeft geen extra details gegeven over het probleem, behalve dat het probleem in QTS 5.0.1.2034 build 20220515 en nieuwer en QuTS hero h5.0.0.2069 build 20220614 en nieuwer is verholpen. Ze verzoeken alle gebruikers om hun QNAP NAS-schijf te updaten.
Gerelateerde nieuwsberichten
07/06/2021 Online Casino Software Nederland 2022
20/07/2017 Vijf stappen om je website online te krijgen
03/01/2017 Actieve ondersteuning PHP 5 beëindigd
Er zijn 1 reacties op 'Qnap waarschuwt voor lek in php in apparatuur'
-0 
En ach, er zijn zoveel websites die met een sterk verouderde versie van PHP draaien, als ik internet moet geloven. De ene site zegt dat bijna elke site een verouderde PHP-versie gebruikt, terwijl de andere site zegt dat slechts 25% een antieke versie van PHP gebruikt.
Hoe dan ook, voor een online dienst als een website is het zorgwekkend dat er zo veel gebruik wordt gemaakt van antieke PHP versies. Mijn eigen website is er ook één, gewoon omdat het mij te veel tijd kost om de code aan te passen met al die onhandige backward incompatible changes in zelfs minor versies van PHP. Maar gelukkig staat er niets schokkend om voor in te breken.
Wat me wel is opgevallen bij dergelijke NAS-oplossingen is dat het erg gemakkelijk is om open source oplossingen er bij te leveren, zo van leuk he dat het allemaal kan? Maar dat het onderhoud (zoals het missen van een update naar minstens PHP 7.4) toch zo veel moeite kost dat ze vaker dan gewenst achter lopen. Het heeft er toe geleid dat ik open source oplossingen niet langer op een NAS host, maar op een eigen dedicated Linux server. Dan kan je zelf altijd de nieuwste software installeren en ben je niet afhankelijk van allerlei beperkingen van de NAS leverancier.
Om te reageren heb je een account nodig en je moet ingelogd zijn.
PHP hulp
0 seconden vanaf nu