QNAP: Eine gestopfte Sicherheitslücke und zwei offene

Der NAS-Hersteller QNAP hat Sicherheitslücken in seiner NAS-Software kommuniziert. Ein Update für die Cross-Site-Scripting-Schwachstelle in der File Station wurde bereits veröffentlicht. Geführt wird die Lücke unter CVE-2018-19942 und laut Hersteller sind alle Modelle betroffen. Wenn diese Schwachstelle ausgenutzt wird, können entfernte Angreifer bösartigen Code einschleusen. Der Schweregrad der Lücke wird als Hoch angegeben. Um euer Gerät zu sichern, empfehle man dringend, das System auf die neueste Version zu aktualisieren, um von der Behebung der Sicherheitslücke zu profitieren. Folgende Versionen gelten als sicher:

QTS 4.5.2.1566 build 20210202 (und später)
QTS 4.5.1.1456 build 20201015 (und später)
QTS 4.3.6.1446 build 20200929 (und später)
QTS 4.3.4.1463 build 20201006 (und später)
QTS 4.3.3.1432 build 20201006 (und später)
QTS 4.2.6 build 20210327 (und später)
QuTS hero h4.5.1.1472 build 20201031 (und später)
QuTScloud c4.5.4.1601 build 20210309 (und später)
QuTScloud c4.5.3.1454 build 20201013 (und später)

Nicht behoben ist derzeit auch noch eine Lücke im Twonky Media Server (die u. a. auch das WD My Cloud OS von Western Digital betrifft). Da arbeiten die Menschen hinter dem Server noch an der Behebung an der ebenfalls mit dem Schweregrad Hoch versehenen Sicherheitslücke, bei QNAP wird man dann das aktualisierte Paket zur Verfügung stellen. Wer den Server nicht nutzt, der ist auch nicht betroffen.

Eine Schwachstelle für unsachgemäße Zugriffsbeschränkungen ermöglicht entfernten Angreifern den Zugriff auf sensible Informationen, wie z. B. den Administrator-Benutzernamen und das Passwort für den Zugriff die auf Twonky-Server-Einstellungen. Und: eine Schwachstelle in der Passwortverschlüsselung ermöglicht entfernten Angreifern die einfache Entschlüsselung von Passwörtern. Beide Schwachstellen zusammen ermöglichen es entfernten Angreifern, Zugriff auf alle Inhalte zu erhalten, auf die der Server zugreifen kann.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram. PayPal-Kaffeespende.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.