QNAP informiert über PHP-Sicherheitslücke
QNAP, Hersteller von NAS-Geräten und sehr transparent bei der Kommunikation von Schwachstellen, informiert, dass man derzeit eine PHP-Schwachstelle abdichtet. Sie hat den Schweregrad hoch und wird unter CVE-2019-11043 geführt. Die Schwachstelle betrifft die PHP-Versionen 7.1.x bis 7.1.33, 7.2.x bis 7.2.24 und 7.3.x bis 7.3.11. Wenn die Schwachstelle ausgenutzt wird, können Angreifer Remotecodeausführung erlangen.
Die Sicherheitslücke betrifft die folgenden QNAP-Betriebssystemversionen:
QTS 5.0.x und höher
QTS 4.5.x und höher
QuTS hero h5.0.x und höher
QuTS hero h4.5.x und höher
QuTScloud c5.0.x und höher
Man habe diese Sicherheitslücke bereits in den folgenden Betriebssystemversionen behoben:
QTS 5.0.1.2034 build 20220515 und später
QuTS hero h5.0.0.2069 build 20220614 und später
# | Vorschau | Produkt | Preis | |
---|---|---|---|---|
1 | QNAP NAS, no HDD/SSD, ARM processor, NPU | TS-233, 2-bay, 2GB RAM, 1GbE | 182,36 EUR | Bei Amazon ansehen | |
2 | QNAP TS-253E-8G NAS System 2-Bay | 491,32 EUR | Bei Amazon ansehen | |
3 | Qnap TS-216G | 2-Bay, Quad-core ARM CPU, 4GB RAM. 2.5GbE NAS | 267,75 EUR | Bei Amazon ansehen |
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Von der Informationspolitik dürfen sich andere Hersteller gerne eine Scheibe abschneiden.
Echt übel was die gerade an Sicherheitsprobleme haben. Spiele eigentlich schön länger mit dem Gedanken eine NAS zu kaufen. Das Pendel scheint wohl eher Richtung ASUStor auszuschlagen.
Das heißt nicht, dass die anderen weniger Probleme haben. Könnte man von Synology auch meinen, weil von denen seltener Sicherheitslücken berichtet werden. Wenn man sich aber die CVE Listen anschaut, hat Synology sogar mehr und häufiger Sicherheitslücken als die Jungs und Mädels von QNAP.
Und täglich grüßt das Murmeltier
„Man habe diese Sicherheitslücke bereits in den folgenden Betriebssystemversionen behoben:
QTS 5.0.1.2034 build 20220515 und später“
Ich habe 5.0.0.2055 und die „Firmware ist auf dem aktuellen Stand“
Vielleicht sollte man das Update dann auch mal ausrollen?
QTS 5.0.1.2034 build 20220515 ist die public beta
– kann sich also jeder Interessierte, mit geeignetem NAS, installieren
Das genannte CVE-2019-11043 stammt aus 2019. Das heißt, in der QNAP Firmware steckt ein PHP mit einem 3 Jahre alten Patchlevel? Wow.