Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Mehrere Schwachstellen entdeckt: Qnap verschläft Patches und gelobt Besserung

Nach der Entdeckung teils schwerwiegender Sicherheitslücken in QTS und QuTS Hero liefert Qnap Patches und entschuldigt sich für die Verspätung.
/ Marc Stöckel
Kommentare News folgen (öffnet im neuen Fenster)
Qnap liefert Patches für seine Nas-Systeme - mit reichlich Verspätung. (Bild: pexels.com / Pixabay)
Qnap liefert Patches für seine Nas-Systeme - mit reichlich Verspätung. Bild: pexels.com / Pixabay

Der Nas-Hersteller Qnap hat Sicherheitsupdates für seine Betriebssysteme QTS und QuTS Hero veröffentlicht, mit denen mehrere Sicherheitslücken geschlossen werden. Damit ist das Unternehmen spät dran: Sicherheitsforscher von Watchtowr Labs hatten die Schwachstellen vor rund einer Woche offengelegt(öffnet im neuen Fenster) .

Obwohl die Forscher Qnap im Vorfeld reichlich Zeit eingeräumt hatten, um Patches bereitzustellen, waren zu diesem Zeitpunkt nur vier von 15 Sicherheitslücken gepatcht. Eine der übrigen elf von den Forschern aufgelisteten Schwachstellen wurde zwar erst am 11. Mai an Qnap gemeldet, neun davon jedoch schon vor mindestens vier Monaten.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Backend / Game Engine Engineer (m/w/d) 4Players GmbH, Hamburg,Home Office (öffnet im neuen Fenster)
Systemadministrator*in für Basisdienste Infrastruktur Deutsche Rentenversicherung Bund, Würzburg,Berlin (öffnet im neuen Fenster)
Information Security Manager (m/w/d) Techniker Krankenkasse, Hamburg (öffnet im neuen Fenster)
Mitarbeiter IT und Digitalisierung (m/w/d) Diakonie Pfingstweid e.V., Tettnang (öffnet im neuen Fenster)
SAP-Berater (m/w/d) Berechtigungsmanagement ivv GmbH, Hannover (öffnet im neuen Fenster)
Ausbildung zum Fachinformatiker für Anwendungsentwicklung 2026 (m/w/d) Schwarz Digits, Neckarsulm (öffnet im neuen Fenster)
IT-Servicetechniker (m/w/d) PHARMATECHNIK GmbH & Co. KG, Starnberg (öffnet im neuen Fenster)
AVEVA Experte (m/w/d) ILF CONSULTING ENGINEERS GERMANY GMBH, Bremen,Hamburg,München (öffnet im neuen Fenster)

Einige der in den im April veröffentlichten Systemversionen QTS 5.1.6 und QuTS Hero h5.1.6 noch ungepatchten Sicherheitslücken ermöglichen es Angreifern, auf anfälligen Nas-Systemen aus der Ferne Schadcode auszuführen (RCE). Erst mit den am 21. Mai bereitgestellten(öffnet im neuen Fenster) Versionen QTS 5.1.7 und QuTS Hero h5.1.7 behob der Hersteller dies. An Qnap gemeldet worden waren diese RCE-Schwachstellen am 3. Januar.

Weitere fünf Schwachstellen gepatcht

Qnap patchte nun bisher insgesamt neun von Watchtowr entdeckte Schwachstellen und empfahl Anwendern, ihre Nas-Systeme zeitnah auf QTS 5.1.7 respektive QuTS Hero h5.1.7 zu aktualisieren, sofern noch nicht geschehen. Die dafür erforderlichen Schritte werden in der Sicherheitsmeldung des Herstellers(öffnet im neuen Fenster) geschildert. Auf die verbleibenden sechs Sicherheitslücken ging Qnap nicht ein.

Darüber hinaus entschuldigte sich das Unternehmen in einer separaten Mitteilung(öffnet im neuen Fenster) für die "Koordinationsprobleme" mit den Watchtowr-Forschern sowie die dadurch entstandene Verzögerung bei der Auslieferung der jüngsten Patches. "Wir unternehmen Schritte, um unsere Prozesse und die Koordination in Zukunft zu verbessern, damit solche Probleme nicht mehr auftreten" , hieß es.

Zugleich gab das Unternehmen ein Commitment ab: Schwachstellen mit den Schweregraden hoch und kritisch will Qnap künftig innerhalb von 45 Tagen patchen, solche mit mittlerem Schweregrad innerhalb von 90 Tagen. Ziel sei es, "eng mit Forschern auf der ganzen Welt zusammenzuarbeiten, um die höchste Qualität der Sicherheit unserer Produkte zu gewährleisten" .

Zur Startseite Kommentare

Relevante Themen

NetzwerkhardwareTechnik/HardwareSecuritySicherheitslückeUpdates & PatchesDatensicherheitQnapNAS