Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsNAS aktualisieren: Kritische Sicherheitslücke in QTS und QuTS hero von QNAP
QNAP hat eine kritische Sicherheitslücke in den eigenen NAS-Betriebssystemen QTS und QuTS hero öffentlich gemacht, die unter dem Identifier CVE-2022-27596 geführt wird. Nutzer eines QNAP-NAS sollten prüfen, ob für ihr System ein Update bereitsteht, um die Lücke schnellstmöglich zu schließen.
An dieser Stelle möchte ich noch einmal auf die kostenlose Utility von QNAP Qfinder Pro hinweisen, denn mit dieser wird es dem Anwender sehr leicht gemacht die Firmware/OS aktuell zu halten.
Inzwischen lautet die Version von QTS 5.0.1.2277, zumindest für das TS-473A.
So lange man sein NAS nicht direkt aus dem Internet erreichbar macht, sehe ich hier keine große Gefahr. Dennoch sollte natürlich so schnell wie möglich gepatcht werden.
Das finde ich auch befremdlich, zumal hier ja das Thema responsible disclosure und co nicht zum Tragen kommt...
Generell wundere ich mich aber auch, dass eine SQL-Injection immer noch möglich ist. Man sollte meinen, dass Entwickler zumindest auf diese Art von Angriff inzwischen mehr als genug sensibilisiert sein sollten?
Die ersten Versionen, die das gepatcht haben, stammen von Anfang Dezember. Dadurch haben viele User unbemerkt das schon gepatcht.
Damit zieht man nicht so viel Aufmerksamkeit auf die Lücke und potentielle Angreifer an. Und man stellt sicher, dass für möglichst alle Geräte der Patch verfügbar ist. Ich kann das Geschrei schon sehen, wenn es heißt: Sicherheitslücke entdeckt, Patch kommt in 2 Wochen!
Ein Hauptproblem ist, dass man Softwaretechnisch hintendran ist. Man muss sich ja nur die Kernel-Version anschauen. Man stellt zwar sicher, dass alles stable ist, hat aber Nachteile in Bezug auf Sicherheit.
Wer sein NAS (Hersteller grundsätzlich mal egal) z.T. grundlos und dann auch noch ohne weiteren Schutz ins Internet stellt, darf sich dann wundern, wenn er was abbekommt.
@Frank ich weiß nicht woher ihr die Info zu dieser Sicherheitslücke her habt , ich nehme an von Qnap eigenen Security Board bzw. dieser Security Advisor den Ihr verlinkt habt hat es dort her. Dann solltet ihr auch erwähnen das diese Lücke seit knapp 2 Monaten ( ! ) Bereits geschlossen ist!
Wenn Qnap Sicherheitslücken in dem Security Board öffentlich macht sie diese bereits per Firmware-Update geschlossen. Sprich jeder der einen Qnap NAS hat sollte das automatische installieren von Firmware bzw. Sicherheits-Updates aktiviert haben, so das der NAS das Update selbst herunter lädt und in der nächsten Nacht wenn ungenutzt installiert und neustartet. So das man am nächsten Tag gar nicht merkt das es ein Update gab außer man hat die E-Mail Benachrichtigung im NAS Aktiviert dann bekommst eine Mail an deine hinterlegte Adresse das ein Firmware Update ansteht und nächste Nacht automatisch durchgeführt wird....
Ach Qnap.... Hab ja noch eine uuuuralte TS439 Pro II. Samba 3 gabs nicht, Borg-Backup auch nicht. Rsync-Server bin ich mir nicht mehr sicher. Also zwischen den Jahren 2GB DDR1-RAM reingepackt und OMV installiert. Was soll ich sagen? Für einen single core atom läuft die Kiste als Backup-Nas erstaunlich gut
