Blog
Veröffentlicht:
Update:
Lesedauer:
3 Minuten

Sicherheitslücken: QNAP informiert über Schwachstellen

Sicherheit | Bild: © welcomia (Tomasz Zajda)/Depositphotos.com

Ein Blick in die QNAP-Sicherheitshinweise weist aktuell auf offene Sicherheitslücken in der NAS-Software hin. Dazu zählen mehrere Lücken die aktuell noch untersucht werden, bzw. für die zur Zeit ein Update in der Mache ist. Dabei handelt es sich um mehrere Sicherheitslücken im Twonky Server:

  • Eine Schwachstelle für unsachgemäße Zugriffsbeschränkungen ermöglicht entfernten Angreifern den Zugriff auf vertrauliche Informationen, wie z. B. den Administrator-Benutzernamen und das Kennwort für den Zugriff auf Twonky Server-Einstellungen.
  • Eine Schwachstelle in der Passwortverschleierung ermöglicht entfernten Angreifern die einfache Entschlüsselung von Passwörtern.
  • Beide Schwachstellen zusammen ermöglichen es entfernten Angreifern, Zugriff auf alle Inhalte zu erhalten, auf die der Server zugreifen kann.
  • Der Hersteller veröffentlicht die Version 8.5.2, um die Sicherheitslücken zu schließen. Wir werden diesen Hinweis aktualisieren, sobald das Paket verfügbar ist.

Wer den Twonky Server auf seinem NAS nicht installiert hat ist von dieser Lücke nicht betroffen. Alle anderen müssen warten bis die Entwickler der Serversoftware ein Update herausbringen.

Eine zweite Lücke die aktuell nicht behoben ist befindet sich in „Sudo“.

  • Das Qualys-Forschungsteam hat eine Heap-basierte Pufferüberlaufschwachstelle in sudo gemeldet, einem wichtigen Dienstprogramm für Unix-ähnliche und Linux-basierte Betriebssysteme, einschließlich QTS, QuTS hero und QES von QNAP.
  • Wenn diese Schwachstelle ausgenutzt wird, kann jeder unprivilegierte Benutzer erweiterte Root-Rechte auf dem verwundbaren Host erlangen.
  • QNAP untersucht den Fall aktuell. QNAP wird so bald wie möglich Sicherheitsupdates veröffentlichen und weitere Informationen zur Verfügung stellen.

In folgenden Versionen wurde diese Lücke bereits behoben:

  • QTS 4.5.2.1566 Build 20210202 und später
  • QuTS hero h4.5.1.1582 Build 20210217 und später

An dieser Stelle sei noch einmal auf eine weitere Sicherheitslücke hingewiesen:

Es wurde eine Cross-Site-Scripting (XSS)-Schwachstelle in früheren Versionen der File Station gefunden. Wenn diese Schwachstelle ausgenutzt wird, können entfernte Angreifer bösartigen Code einschleusen. Diese Lücke trägt den CVE-Code CVE-2018-19942.

Zu dieser Lücke sind bereits Updates verfügbar:

  • QTS 4.5.2.1566 build 20210202 (und später)
  • QTS 4.5.1.1456 build 20201015 (und später)
  • QTS 4.3.6.1446 build 20200929 (und später)
  • QTS 4.3.4.1463 build 20201006 (und später)
  • QTS 4.3.3.1432 build 20201006 (und später)
  • QTS 4.2.6 build 20210327 (und später)
  • QuTS hero h4.5.1.1472 build 20201031 (und später)
  • QuTScloud c4.5.4.1601 build 20210309 (und später)
  • QuTScloud c4.5.3.1454 build 20201013 (und später)

Wer ein entsprechendes Update noch nicht eingespielt hat, sollte dies schnellstmöglich nachholen.


Weitere Beiträge zum Thema:

Schreibe einen Kommentar

Mit * markierte Felder sind Pfichtfelder