QNAP schließt drei Sicherheitslücken

Nutzer von NAS-Speichern von QNAP müssen sich weiterhin in Geduld üben, denn das Unternehmen untersucht noch immer Berichte, dass Geräte für Bitcoin-Miner anfällig seien (wir berichteten). Auf der anderen Seite hat man mittlerweile Informationen über bereits geschlossenen Lücken herausgegeben, drei insgesamt, eine von ihnen wurde mit dem Schweregrad „Kritisch“ eingestuft. Da solltet ihr also mal schauen, dass ihr auf dem aktuellen Stand seid, sofern ihr die Module einsetzt.

CVE-2021-38687:
Es wurde gemeldet, dass QNAP NAS mit Surveillance Station von einer Stapelpufferüberlaufschwachstelle betroffen ist. Wenn diese Sicherheitslücke ausgenutzt wird, können Angreifer beliebigen Code ausführen. Behoben ist dies in folgenden Versionen:
QTS 5.0.0 (64-bit): Surveillance Station 5.2.0.4.2 (2021/10/26) und später
QTS 5.0.0 (32-Bit): Surveillance Station 5.2.0.3.2 (2021/10/26) und später
QTS 4.3.6 (64-Bit): Surveillance Station 5.1.5.4.6 (2021/10/26) und später
QTS 4.3.6 (32-Bit): Surveillance Station 5.1.5.3.6 (2021/10/26) und später
QTS 4.3.3: Surveillance Station 5.1.5.3.6 (2021/10/26) und später

CVE-2021-38680:
Es wurde eine Cross-Site-Scripting (XSS)-Schwachstelle gemeldet, die QNAP NAS mit Kazoo Server betrifft. Wenn diese Schwachstelle ausgenutzt wird, können entfernte Angreifer bösartigen Code einschleusen. Sicher dran ist man mit dem Kazoo Server 4.11.20 und höher.

CVE-2021-38688:
Es wurde berichtet, dass Android-Geräte, auf denen Qfile läuft, von einer Sicherheitslücke bei der Authentifizierung betroffen sind. Wenn diese Schwachstelle ausgenutzt wird, können Angreifer die App kompromittieren und auf private Informationen zugreifen. Behoben unter Qfile 3.0.0.1105 oder neuer.

In diesem Artikel sind Partner-Links enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.