Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Hardware & Software Alert!: Qnap schließt Sicherheitslücken in NAS-Zusatzsoftware

Für Qnap NAS-Systeme bietet der Hersteller Erweiterungen in Form von Zusatzsoftware an. In einigen Zusatzpaketen haben Sicherheitslücken die Integrität der Netzwerk-Speichersysteme mit teils hohem Risiko gefährdet. Der Hersteller stellt jetzt Aktualisierungen bereit, die die Sicherheitslecks abdichten.

Aufgrund einer Schwachstelle in der Zusatzsoftware Surveillance Station könnten Angreifer beliebigen Code auf Qnap NAS einschleusen und ausführen. Ein Stack-basierter Pufferüberlauf könne in der Software auftreten. Neue Versionen von Surveillance Station schließen die Lücke, sie sind ab 5.2.0.4.2, 5.2.0.3.2, 5.1.5.4.6sowie 5.1.5.3.6 nicht mehr enthalten (CVE-2021-38687, Risiko hoch).
Eine weitere Schwachstelle hat das Unternehmen in der Qnap-NAS-Software Kazoo Server mit Version 4.11.20 geschlossen. War der UPnP-Medien-Server Kazoo Server aktiv, hätten Angreifer bösartigen Code via Cross-Site-Scripting einschleusen können (CVE-2021-38680, mittel).

Zudem gab es eine Aktualisierung für die Android-App Qfile zum Browsen des NAS via Smartphone. In Version 3.0.0.1105 der App ist es Angreifern nicht mehr möglich, diese aufgrund einer unsachgemäßen Authentifizierung zu komprimittieren und an sensible Informationen zu gelangen (CVE-2021-38688, mittel).

Updates verfügbar​

Qnap hat dazu drei Sicherheitsmeldungen herausgegeben:

  • QSA-21-46: "Stack Buffer Overflow Vulnerability in Surveillance Station"
  • QSA-21-54: "Reflected XSS Vulnerability in Kazoo Server"
  • QSA-21-55: "Improper Authentication Vulnerability in Qfile"
Qnap-Administratoren, die diese Software einsetzen, sollten die bereitgestellten Aktualisierungen zeitnah einspielen.
Quelle: heise
 
Zurück
Oben