QNAP meldet Schwachstellen im Apache HTTP Server einiger Geräte
QNAP, unter anderem Hersteller von NAS-Geräten, hat eine Sicherheitslücke kommuniziert, die derzeit noch nicht geschlossen ist. Es handelt sich dabei allerdings nicht um eine kritische Sicherheitslücke, sie wird mit dem Schweregrad „Mittel“ durch QNAP bewertet.
Letzten Endes liegt die Lücke im vom QNAP verwendeten Modul des Apache HTTP Server. Die Apache Software Foundation und das Apache HTTP Server Project hatten mehrere Sicherheitslücken kommuniziert, die in der neuesten Version des Apache HTTP Server 2.4.53 behoben wurden.
Während die unter CVE-2022-22719 und CVE-2022-22720 gelisteten Schwachstellen keine QNAP-Produkte betreffen, wirkt sich CVE-2022-22721 auf 32-Bit-QNAP-NAS-Modelle aus, und CVE-2022-23943 betrifft Benutzer, die mod_sed in Apache HTTP Server auf ihrem QNAP-Gerät aktiviert haben. Man untersuche die beiden Sicherheitslücken, die QNAP-Produkte betreffen, gründlich und werde so bald wie möglich Sicherheitsupdates veröffentlichen.
Um CVE-2022-22721 zu entschärfen, empfehle man, den Standardwert „1M“ für LimitXMLRequestBody beizubehalten. Um CVE-2022-23943 abzuschwächen, sollten Nutzer mod_sed. deaktivieren (Hinweis: In QTS ist mod_sed im Apache HTTP Server standardmäßig deaktiviert).
# | Vorschau | Produkt | Preis | |
---|---|---|---|---|
1 | QNAP NAS, no HDD/SSD, ARM processor, NPU | TS-233, 2-bay, 2GB RAM, 1GbE | 182,36 EUR | Bei Amazon ansehen | |
2 | Qnap TS-433-4G NAS System 4-Bay | 389,00 EUR | Bei Amazon ansehen | |
3 | QNAP TS-253E-8G NAS System 2-Bay | 491,60 EUR | Bei Amazon ansehen |
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Hmm.. also ich hab mal die Schwachstellen Meldungen (hier) zwischen Synology und Qnap verglichen. Für Qnap gibts hier wesentlich öfter Meldungen (und fällt daher eher negativ(?) auf). Woran liegt das? Meldet Synology einfach weniger? Ist Qnap mehr von Sicherheitslücken betroffen? Oder haben die Autoren hier mehr Augenmerk auf Qnap? Letzteres glaube ich eigentlich nicht, weil die Gesamtzahl der Blogeinträge relativ ausgeglichen zu sein scheint…
Pauschal wird das wohl schwierig zu beantworten sein.
Hersteller A kann eine SA rausgeben für eine Funktion die Hersteller B gar nicht implementiert hat.
Hersteller B kann evtl. auch das ‚kaputt konfigurieren‘ der entsprechenden Funktion durch den User verhindern, während dies bei Hersteller A ein ‚Feature‘ darstellt.
Bei populären Komponenten wie Apache, Log4j u.a. kommt es natürlich auch immer auf die ausgelieferten / unterstützen Versionen an.
Die Listen der SAs kann man sich auf den jeweiligen Webseiten anschauen.
Ein rein quantitativer Vergleich ist aber wahrscheinlich auch nicht zielführend.
Kuckst du hier:
– https://www.cvedetails.com/vendor/11138/Synology.html
– https://www.cvedetails.com/vendor/10080/Qnap.html
Wenn man der Auswertung Glauben schenken darf, hat über den dort gesamt erfassten Zeitraum Synology bei weniger Produkten mehr Lücken als QNAP. o.O
Betrachtet man nur das laufende und letzte Jahr halten sich beide ungefähr die Waage.
Was leider nicht daraus hervorgeht ist wie schnell und wie gut auf diese Lücken reagiert wird.
Danke sehr! Die Links sind hilfreich!
Die Liste stimmt aber leider nicht, bzw. ist sie bei QNAP nicht aktuell. 2022 sollen die zuletzt im Februar eine CVE habe. Ich nutze die Seite unter anderem auch. Sowohl Syno als auch QNAP kommunizieren beide, QNAP aber besser. Deswegen nenne ich es gerne, da wir Nutzer oft auch Abhilfe mitgeben können, wenn QNAP die Tipps zur Abschwächung rausgibt. Das ist positiv, nicht negativ.
https://www.qnap.com/de-de/security-advisories?ref=security_advisory_details
https://www.synology.com/de-de/security/advisory
Danke dir.
Das mit der Kommunikation ist halt ein zweischneidiges Schwert. Ja, offen mit Sicherheitslücken umgehen und kommunizieren ist eine gute Sache. Punkt.
Trotzdem hat es durchaus einen Effekt wenn ein Unternehmen sehr viel öfter Sicherheitslücken meldet als ein direkter Konkurrent. Ist halt eine Frage der Wahrnehmung.
Ich bin mir nicht sicher ob „das Unternehmen hat letztes Jahr die meisten Sicherheitslücken gemeldet“ ein guter Werbeslogan wäre 😉
Auf jeden Fall lohnt sich immer ein zweiter, genauerer Blick wenn man solche Vergleiche anstellt (z.B. bei einer Kaufentscheidung).
Rein theoretisch könnte es ja auch sein das Firma X ziemlich nachlässig war und nun mit den fixen der Lücken kaum hinterkommt…mal überspitzt gesagt.
Das war mir letztes Jahr auch schon mal aufgefallen:
https://stadt-bremerhaven.de/qnap-schliesst-luecken-im-qcenter-und-qulog-center/#comment-1254130
Caschy hatte im Thread ja auch geantwortet, dass er QNAP und Synology einsetzt, einseitiges Interesse wird es also nicht sein. Wahrscheinlich kommuniziert QNAP nur besser.