Security: Sicherheitslücken betreffen praktisch alle Qnap-NAS-Systeme

Gleich drei Security-Probleme sind von Qnap gemeldet worden. Das Unternehmen rät zu einem sofortigen Update des Betriebssystems.

Artikel veröffentlicht am ,
Qnap rät zum schnellen Update.
Qnap rät zum schnellen Update. (Bild: Pixabay.com/CC0 1.0)

Qnap ist sich einiger Sicherheitslücken bewusst, die das eigene Betriebssystem QTS betreffen. Damit sind im Prinzip alle Qnap-NAS-Systeme, welche das OS nutzen, ebenfalls angreifbar. Die Sicherheitslücken mit den Kennziffern CVE-2018-19943, CVE-2018-19949 und CVE-2018-19953 sind bereits in der CVE-Datenbank reserviert. Allerdings sind dort noch keine detaillierten Informationen dazu gelistet.

Stellenmarkt
  1. Entwicklungsingenieur Embedded Linux Systeme (m/w/d)
    Phoenix Contact Electronics GmbH, Bad Pyrmont
  2. CRM Solutions Expert (m/f/d)
    Allianz Deutschland AG, München
Detailsuche

Qnap gibt an, dass es sich um Lücken mit hohem Risikofaktor handle. CVE-2018-19943 und CVE-2018-19953 sind Cross-Scripting-Sicherheitslücken, die das Ausführen von Schadcode auf dem angegriffenen System ermöglichen. Meist werden solche Angriffe über Webseiten ausgeführt. Darauf werden Scripts versteckt, welche die genannten Lücken ausnutzen. CVE-2018-19949 hingegen nutzt laut Qnap Command Injection aus, welche meist eine verwundbare, in der Shell ausgeführte Applikation auf dem Betriebssystem nutzt, um Kommandozeilenbefehle auszuführen.

Qnap hat bereits einen Fix parat

Qnap hat wohl bereits eine Lösung in Arbeit. Derzeit wird diese für verschiedene Versionen von QTS ausgerollt. Für folgende Versionen gibt es bereits einen Fix: QTS 4.4.2.1270 Build 20200410, 4.4.1.1261 Build 20200330, 4.3.6.1263 Build 20200330 , 4.3.4.1282 Build 20200408, 4.3.3.1252 Build 20200409 und 4.2.6 Build 20200421.

Generell sollten alle, die ein Qnap-NAS verwenden, ein Update des Betriebssystems durchführen. Dazu rät das Unternehmen in der Supportmeldung. Eine Aktualisierung kann nur mit Administratorrechten ausgeführt werden. Zu finden ist der Prozess als Firmware-Update im Unterpunkt System der Systemsteuerung. Es ist aber auch möglich, das Update von der Webseite herunterzuladen. Im Qnap-Download-Center muss dazu die konkrete Modellreihe des eigenen Produktes eingegeben werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Cloudsparte Stackit
"Kubernetes ist nicht das Endgame"

Doch nicht Kubernetes? Dominik Kress von Stackit betitelt so einen Vortrag - und eröffnet damit die Frage, ob man Kubernetes dort vielleicht gar nicht mag.
Ein Bericht von Boris Mayer

Cloudsparte Stackit: Kubernetes ist nicht das Endgame
Artikel
  1. Einsparverordnungen: So sollen Verwaltung, Bürger und Firmen Energie sparen
    Einsparverordnungen
    So sollen Verwaltung, Bürger und Firmen Energie sparen

    Reduzierte Raumtemperaturen und ungeheizte Swimmingpools: Die Regierung fordert eine "nationale Kraftanstrengung" wegen des Gasmangels.

  2. Tastatur: Gaming-Bereich von Cherry bricht ein
    Tastatur
    Gaming-Bereich von Cherry bricht ein

    Der Tastaturhersteller Cherry ist für seine Funktionstastaturen bekannt - die Gaming-Tastaturen scheinen es dagegen schwer zu haben.

  3. Dogwalk: Lücke in Windows-Betriebssystemen wird aktiv ausgenutzt
    Dogwalk
    Lücke in Windows-Betriebssystemen wird aktiv ausgenutzt

    Über eine Schwachstelle im Diagnostic Tool und mit Social Engineering können Windows-Kunden auf eine Lücke hereinfallen. Ein Patch ist da.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Nur bis 9:59 Uhr: Best of Gamesplanet Summer Sale • Günstig wie nie: SSD 1TB/2TB (PS5), Curved Monitor UWQHD LG 38"/BenQ 32" • Razer-Aktion • MindStar (AMD Ryzen 7 5800X3D 455€, MSI RTX 3070 599€) • Lego Star Wars Neuheiten • Bester Gaming-PC für 2.000€ [Werbung]
    •  /