QNAP warnt Nutzer vor Schwachstelle

QNAP warnt seine Nutzer derzeit vor einer Schwachstelle in seinen Geräten. Die unter der Bezeichnung Dirty Pipe (CVE-2022-0847) laufende Sicherheitslücke dürfte die aktuell schwerste in ungepatchten Linux-Systemen und -Derivaten sein – und sie betrifft neben NAS-Geräten auch aktuelle Android-Smartphones oder sonstige Geräte, die den entsprechenden Linux-Kernel nutzen. Betroffen sind alle QNAP x86-basierten NAS und einige ARM-basierte NAS mit QTS 5.0.x und QuTS hero h5.0.x. QNAP NAS mit QTS 4.x sind nicht betroffen. Die Kernel-Liste für betroffene QNAP-Modelle mit Kernel 5.10.60 habe ich euch einmal hier verlinkt.

Wenn die Schwachstelle mit dem Schweregrad „Hoch“ ausgenutzt wird, kann ein nicht privilegierter Benutzer Administratorrechte erlangen und bösartigen Code einschleusen. Derzeit gibt es keine Abhilfe für diese Sicherheitslücke, so QNAP. Man empfehle den Benutzern, Sicherheitsupdates zu überprüfen und zu installieren, sobald sie verfügbar sind. Selbstverständlich geben wir hier auch noch einmal Bescheid.

In diesem Artikel sind Partner-Links enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

9 Kommentare

  1. Und täglich grüßt das Murmeltier…
    Langsam aber sicher bereue ich es dass ich hier einige QNAP Geräte habe…

    • Die Schwachstelle betrifft alle Geräte mit entsprechendem Linuxkernel. Egal was.

    • Das wird alle Geräte betreffen, die ein Linux-Betriebssystem darunter haben, nicht nur QNAP, nur veröffentlich die eben derzeit vermehrt die Schwachstellen um Kunden zu warnen.

  2. DarkBasic86 says:

    Aber ich bin doch weiterhin Safe, wenn ich das Gerät nur intern bereitstelle und keine Cloud-Features, Portfreigaben o.Ä. aktiv habe ?!?
    Und es ist der aktuellste QTS5-Patch von 2022-02-03 installiert. (TS-473A)

    • Fast sicher.
      Weiß ja nicht, wer sich bei dir im heimischen Netz noch so alles rumtummelt:)
      Meine Qnaps sind auch nicht von außen erreichbar, wenn ich Zugriff brauche dann nur über Tunnel.

      • DarkBasic86 says:

        Intern bin nur ich es mit meinen Geräten.
        WLAN nur mit Whitelist, nur static-leases, kein klassisches DHCP. Denke damit bin ich recht sicher vor ungewollten Wifi Teilnehmern.
        Eine Tunnel Lösung will ich mir noch einrichten, damit ich von vertrauenswürdigen externen Netzen (Arbeit, Elternhaus, usw.) per Laptop sicheren Zugriff habe, dann auch um auf den Raspi drauf zu kommen.
        So ist erstmal alles zu. Von außen also Funkstille sozusagen.

        • Könnt ihr mir erklären, wie ich so ein Tunnel Einrichte. Habt ihr vielleicht ein link zu einem Youtube tutorial für mich.
          Meint ihr sowas wie openvpn, wenn ihr Tunnel schreibt?

          • Mein VPN läuft über die Fritz

          • DarkBasic86 says:

            Ich probier gerade mit Wireguard rum, da es ein einfachen Einstieg bietet und von meinem Router „nativ“ unterstützt wird. (Netgear mit DD-WRT Firmware)
            Soweit habe ich jetzt, mit ein paar Stolpersteinen, mein Chromebook und den Desktop auf Arbeit erfolgreich angebunden.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.