QNAP: Hersteller informiert über Sicherheitslücken, Updates stehen bereit
Der NAS-Hersteller hat Sicherheitshinweise zu seinen Geräten veröffentlicht. Bedeutet für Nutzer betroffener QNAP-Modelle, dass sie einmal nachschauen, dass sie in Sachen Softwarepaketen auf dem aktuellen Stand sind. Zwei der Lücken haben den Schweregrad „Medium“, während eine als „Hoch“ eingestuft wird. Eine der Lücken betrifft alle Modelle.
Wenn diese Schwachstelle ausgenutzt wird, kann ein Angreifer über bestimmte weitverbreitete Tools auf sensible Informationen zugreifen, die im Klartext in Cookies gespeichert sind. Die Lücke wird unter CVE-2018-19941 geführt und wurde mit folgenden Softwareversionen geschlossen: QTS 4.5.1.1456 build 20201015, QuTS hero h4.5.1.1472 build 20201031 und QuTScloud c4.5.2.1379 build 20200730.
CVE-2018-19944 wurde mit QTS 4.4.3.1354 build 20200702 geschlossen. Wenn diese Schwachstelle ausgenutzt wird, kann ein entfernter Angreifer während der Klartextübertragung Zugriff auf sensible Informationen erhalten. QTS 4.3.4 bis 4.3.6 beinhaltet die kritische Lücke. Verursacht durch unsachgemäße Einschränkungen eines Pfadnamens zu einem eingeschränkten Verzeichnis, erlaubt diese Schwachstelle das Umbenennen beliebiger Dateien auf dem Zielsystem, wenn sie ausgenutzt wird.
Um das Gerät abzusichern, sollte man das System auf die neueste Version zu aktualisieren, um von den Schwachstellenbehebungen zu profitieren. Nutzer können den Produkt-Support-Status überprüfen, um die neuesten verfügbaren Updates für ihr NAS-Modell zu sehen.
# | Vorschau | Produkt | Preis | |
---|---|---|---|---|
1 | QNAP NAS, no HDD/SSD, ARM processor, NPU | TS-233, 2-bay, 2GB RAM, 1GbE | 182,36 EUR | Bei Amazon ansehen | |
2 | Qnap TS-433-4G NAS System 4-Bay | 389,00 EUR | Bei Amazon ansehen | |
3 | QNAP TS-253E-8G NAS System 2-Bay | 491,32 EUR | Bei Amazon ansehen |
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Musste gestern Abend noch vor Ort gehen, da das QNAP eines Kunden nach dem kleinen Update (nur Build Nummer) MAL WIEDER nicht hoch kam. Nicht mal SSH war gestartet, das Ding hat sich also auf nem unteren Boot Layer aufgehängt. Das hatte ich hunderte Male erlebt als Mitarbeiter im QNAP Support vor einigen Jahren. Hart aus und wieder an hat dann gereicht aber ich rate fast schon prinzipiell Reboots nach Updates nur durchzuführen wenn physischer Zugriff möglich ist. Desöfteren musste sich das RAID per Konsole assembled werden… und zusätzlich gilt: Official = Beta & Beta = Alpha ^^
N guten Rutsch alle zusammen!
Auf ein erfolgreiches und gesundes 2021!
Der Grund warum wir unsere QNAP (NFS für VMware) ersetzt haben waren plötzliche Shutdowns der Maschine, mitten im Betrieb. Erst hatten wir die Netzteile und evtl. Spitzen im Stromnetz in Verdacht, dies konnten wir aber dann ausschließen als das Ding auch hinter passenden USVs noch ab schmierte. Evtl. liegt es am RAID Scrubbing in Verbindung mit höherer Last Nachts. Der QNAP Support hat Nichts gefunden.
Der RAM könnte ggf. auch damit zu tun haben oder habt ihr den offiziellen gelabelten QNAS RAM genutzt?
Wenn man sich die Versionsnummern der Bugfixes anschaut, sind das relativ alte Exploits :
-QTS 4.5.1.1456 build 20201015 (15.Oktober 2020)
-QTS 4.4.3.1354 build 20200702 (02.Juli 2020)
Die inzwischen heraus gekommenen Builds laufen einigermaßen stabil, also sollten die Updates schon bei den versierten Usern angekommen sein.
Und für die ganzen alten Büchsen, die mit QTS 4.3.4 bis 4.3.6 noch laufen müssen, gibt’s nichts, denn die beinhalten die kritische Lücke weiterhin….
Also eher wieder einmal seitens QNAP eine verdeckte „Neukauf-Empfehlung“ anstelle eines echten Security Bulletin….
„QNAP never ever“, ich bin auf UnRAID umgestiegen (auch auf meinen x86/x64-QNAPs – und voll und ganz zufrieden damit…