Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Hardware & Software Alert!: Qnap veröffentlicht NAS-Updates und deaktiviert aus Sicherheitsgründen eine App

Aufgrund von mehreren Sicherheitslücken könnten Angreifer NAS-Systeme von Qnap ins Visier nehmen und nach erfolgreichen Attacken Schadcode ausführen. Da ein Sicherheitsupdate noch nicht verfügbar ist, haben die Entwickler eine App temporär entfernt.

Am gefährlichsten gelten zwei mit dem Bedrohungsgrad "hoch" eingestufte Schadcode-Lücken in den Betriebssystemen QTS und QuTS hero und Multimedia Console. Die Schwachstelle in den Systemen geht auf das Apple File Protocol (AFP) zurück. Hier könnten Angreifer ansetzen und durch einen ausgelösten Speicherfehler (heap-based buffer overflow) Schadcode ausführen. Wie eine Attacke aussehen könnte, ist zurzeit nicht bekannt.
Den Entwicklern zufolge sind dagegen die folgenden Versionen abgesichert:

  • QTS 5.0.0.1808 build 20211001
  • QTS 4.5.4.1800 build 20210923
  • QTS 4.3.6.1831 build 20211019
  • QTS 4.3.3.1799 build 20211008
  • QuTS hero h5.0.0.1844 build 20211105
  • QuTS hero h4.5.4.1813 build 20211006
Die Multimedia-Console-Lücke (CVE-202138684) kann ebenfalls als Schlupfloch für Schadcode dienen. Auch hier sind keine Details zu Angriffsszenarien bekannt. Qnap hat die reparierten Ausgaben 1.4.3 (2021/10/05) und 1.5.3 (2021/10/05) veröffentlicht.

Weitere Schwachstellen​

Die Lücke (CVE-2021-34358 "mittel") in QmailAgent könnten als Ansatzpunkt für eine CSFR-Attacke dienen. Abhilfe schafft QmailAgent ab 3.0.2 (2021/08/25). Für die Schwachstelle (CVE-2021-38681 "mittel") in Ragic Cloud DB gibt es noch kein Sicherheitsupdate. Demzufolge hat Qnap die Anwendung temporär aus dem App Center entfernt, bis ein Patch verfügbar ist.
Quelle: heise
 
Zurück
Oben