QNAP: Hersteller informiert über Sicherheitslücken, Updates stehen bereit

Der NAS-Hersteller hat Sicherheitshinweise zu seinen Geräten veröffentlicht. Bedeutet für Nutzer betroffener QNAP-Modelle, dass sie einmal nachschauen, dass sie in Sachen Softwarepaketen auf dem aktuellen Stand sind. Zwei der Lücken haben den Schweregrad „Medium“, während eine als „Hoch“ eingestuft wird. Eine der Lücken betrifft alle Modelle.

Wenn diese Schwachstelle ausgenutzt wird, kann ein Angreifer über bestimmte weitverbreitete Tools auf sensible Informationen zugreifen, die im Klartext in Cookies gespeichert sind. Die Lücke wird unter CVE-2018-19941 geführt und wurde mit folgenden Softwareversionen geschlossen: QTS 4.5.1.1456 build 20201015, QuTS hero h4.5.1.1472 build 20201031 und QuTScloud c4.5.2.1379 build 20200730.

CVE-2018-19944 wurde mit QTS 4.4.3.1354 build 20200702 geschlossen. Wenn diese Schwachstelle ausgenutzt wird, kann ein entfernter Angreifer während der Klartextübertragung Zugriff auf sensible Informationen erhalten. QTS 4.3.4 bis 4.3.6 beinhaltet die kritische Lücke. Verursacht durch unsachgemäße Einschränkungen eines Pfadnamens zu einem eingeschränkten Verzeichnis, erlaubt diese Schwachstelle das Umbenennen beliebiger Dateien auf dem Zielsystem, wenn sie ausgenutzt wird.

Um das Gerät abzusichern, sollte man das System auf die neueste Version zu aktualisieren, um von den Schwachstellenbehebungen zu profitieren. Nutzer können den Produkt-Support-Status überprüfen, um die neuesten verfügbaren Updates für ihr NAS-Modell zu sehen.

In diesem Artikel sind Partner-Links enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

4 Kommentare

  1. Musste gestern Abend noch vor Ort gehen, da das QNAP eines Kunden nach dem kleinen Update (nur Build Nummer) MAL WIEDER nicht hoch kam. Nicht mal SSH war gestartet, das Ding hat sich also auf nem unteren Boot Layer aufgehängt. Das hatte ich hunderte Male erlebt als Mitarbeiter im QNAP Support vor einigen Jahren. Hart aus und wieder an hat dann gereicht aber ich rate fast schon prinzipiell Reboots nach Updates nur durchzuführen wenn physischer Zugriff möglich ist. Desöfteren musste sich das RAID per Konsole assembled werden… und zusätzlich gilt: Official = Beta & Beta = Alpha ^^

    N guten Rutsch alle zusammen!
    Auf ein erfolgreiches und gesundes 2021!

    • Der Grund warum wir unsere QNAP (NFS für VMware) ersetzt haben waren plötzliche Shutdowns der Maschine, mitten im Betrieb. Erst hatten wir die Netzteile und evtl. Spitzen im Stromnetz in Verdacht, dies konnten wir aber dann ausschließen als das Ding auch hinter passenden USVs noch ab schmierte. Evtl. liegt es am RAID Scrubbing in Verbindung mit höherer Last Nachts. Der QNAP Support hat Nichts gefunden.

      • Der RAM könnte ggf. auch damit zu tun haben oder habt ihr den offiziellen gelabelten QNAS RAM genutzt?

  2. TierParkToni says:

    Wenn man sich die Versionsnummern der Bugfixes anschaut, sind das relativ alte Exploits :
    -QTS 4.5.1.1456 build 20201015 (15.Oktober 2020)
    -QTS 4.4.3.1354 build 20200702 (02.Juli 2020)
    Die inzwischen heraus gekommenen Builds laufen einigermaßen stabil, also sollten die Updates schon bei den versierten Usern angekommen sein.

    Und für die ganzen alten Büchsen, die mit QTS 4.3.4 bis 4.3.6 noch laufen müssen, gibt’s nichts, denn die beinhalten die kritische Lücke weiterhin….

    Also eher wieder einmal seitens QNAP eine verdeckte „Neukauf-Empfehlung“ anstelle eines echten Security Bulletin….

    „QNAP never ever“, ich bin auf UnRAID umgestiegen (auch auf meinen x86/x64-QNAPs – und voll und ganz zufrieden damit…

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.