QNAP schließt zwei Sicherheitslücken
QNAP hat die Behebung zweier als „medium“ eingestufter Sicherheitslücken bekannt gegeben. Nutzer sollten schauen, dass sie eine Version von QTS und QuTS hero einsetzen, die dahingehend abgesichert ist.
Eine SMB Out-of-Bounds-Read-Schwachstelle wurde gemeldet, die QNAP NAS mit QTS und QuTS hero betrifft. Wenn diese Schwachstelle ausgenutzt wird, können Angreifer sensible Informationen auf dem System erlangen.
Man habe diese Sicherheitslücke bereits in den folgenden Versionen behoben:
QTS 4.5.3.1670 Build 20210515 und später
QuTS hero h4.5.3.1670 build 20210515 und später
QuTScloud c4.5.5.1656 build 20210503 und später
Es wurde auch bekannt, dass die unsichere Speicherung sensibler Informationen QNAP-NAS-Geräte mit „myQNAPcloud Link“ betrifft. Wenn diese Schwachstelle ausgenutzt wird, können entfernte Angreifer durch Zugriff auf den uneingeschränkten Speichermechanismus sensible Informationen lesen.
Man habe diese Sicherheitslücke in den folgenden Versionen von myQNAPcloud Link bereits behoben:
QTS 4.5.3: myQNAPcloud Link 2.2.21 und später
QuTS hero h4.5.2: myQNAPcloud Link 2.2.21 und später
QuTScloud c4.5.4: myQNAPcloud Link 2.2.21 und später
In diesem Sinne: Fröhliches Update!
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
…und täglich grüßt das Murmeltier.
Nie wieder QNAP.
Aboniere mal Security-Maillinglisten zu Linux, da kommen täglich Meldungen und trotzdem ist Linux mit das sicherstes Betriebssystem, gerade weil solche Meldungen veröffentlich und schnell Lücken geschlossen werden.
Wer sein System zudem offen aus dem Internet erreichbar ist, dem ist eh nicht zu helfen udn wer nicht drauf kommt kann auch nichts kaputt machen.
Meine QNAP läuft wunderbar, die Update spielt es automatishc auf und die ist komplett vom Internet aus abgeschottet.
Naja, das mit dem „dem ist eh nicht zu helfen“ ist leicht gesagt. Ich denke, die Möglichkeit, von außen auf die Daten zugreifen zu können, insbesondere Bilder, dürfte für viele der Hauptgrund sein, sich für so ein NAS zu entscheiden. Und nicht zuletzt wird gerade dieses Feature auch prominent beworben.
Ich werde auch nicht wieder zu QNAP als NAS greifen, allerdings aus anderen Gründen. Information und Patches zu Schwachstellen finde ich dagegen bei QNAP vorbildlich. Schwachstelle in SMB (wofür QNAP nichts kann), Patch wird bereitgestellt, gut.
Was spricht gegen QNAP? Die Meldung „Sicherheitslücke wurde geschlossen“ ist doch eigentlich eine gute Sache,