News NAS aktualisieren: Kritische Sicherheitslücke in QTS und QuTS hero von QNAP

Frank

Chefredakteur
Teammitglied
Registriert
März 2001
Beiträge
9.215
  • Gefällt mir
Reaktionen: Digibyte, Wilhelm14, Gurkenwasser und 6 andere
Vielen Dank für die Warnungsmeldung.

An dieser Stelle möchte ich noch einmal auf die kostenlose Utility von QNAP Qfinder Pro hinweisen, denn mit dieser wird es dem Anwender sehr leicht gemacht die Firmware/OS aktuell zu halten.

Inzwischen lautet die Version von QTS 5.0.1.2277, zumindest für das TS-473A.
 
  • Gefällt mir
Reaktionen: flo.murr
Na wie schön, dass mein QNAP nur per VPN aus dem internen Netz angesprochen werden kann und nach draußen hin abgeschottet ist.

Geupdated wird es trotzdem, :)
 
  • Gefällt mir
Reaktionen: Nighthawk_
Ich mag NAS-Systeme von Qnap.
Aber gefühlt kommt einmal im Monat ein Update und trotzdem sind Sie sehr sehr oft von Zero-Day Exploits betroffen.
 
So lange man sein NAS nicht direkt aus dem Internet erreichbar macht, sehe ich hier keine große Gefahr. Dennoch sollte natürlich so schnell wie möglich gepatcht werden.
 
H3llF15H schrieb:
eine Software-Version von Anfang / Mitte Dezember 2022 hingewiesen wird
Das finde ich auch befremdlich, zumal hier ja das Thema responsible disclosure und co nicht zum Tragen kommt...
Generell wundere ich mich aber auch, dass eine SQL-Injection immer noch möglich ist. Man sollte meinen, dass Entwickler zumindest auf diese Art von Angriff inzwischen mehr als genug sensibilisiert sein sollten? :D
 
H3llF15H schrieb:
Schlimm finde ich, dass auf eine Software-Version von Anfang / Mitte Dezember 2022 hingewiesen wird und wir bereits Ende Januar 2023 haben.
genau das hat mich auch irritiert. seit 15.12.22 läuft die gefixte version bereits bei uns auf dem firmen nas
 
H3llF15H schrieb:
Schlimm finde ich, dass auf eine Software-Version von Anfang / Mitte Dezember 2022 hingewiesen wird und wir bereits Ende Januar 2023 haben.
Die ersten Versionen, die das gepatcht haben, stammen von Anfang Dezember. Dadurch haben viele User unbemerkt das schon gepatcht.
Damit zieht man nicht so viel Aufmerksamkeit auf die Lücke und potentielle Angreifer an. Und man stellt sicher, dass für möglichst alle Geräte der Patch verfügbar ist. Ich kann das Geschrei schon sehen, wenn es heißt: Sicherheitslücke entdeckt, Patch kommt in 2 Wochen!

Ein Hauptproblem ist, dass man Softwaretechnisch hintendran ist. Man muss sich ja nur die Kernel-Version anschauen. Man stellt zwar sicher, dass alles stable ist, hat aber Nachteile in Bezug auf Sicherheit.

Wer sein NAS (Hersteller grundsätzlich mal egal) z.T. grundlos und dann auch noch ohne weiteren Schutz ins Internet stellt, darf sich dann wundern, wenn er was abbekommt.
 
  • Gefällt mir
Reaktionen: H3llF15H
@Frank ich weiß nicht woher ihr die Info zu dieser Sicherheitslücke her habt , ich nehme an von Qnap eigenen Security Board bzw. dieser Security Advisor den Ihr verlinkt habt hat es dort her. Dann solltet ihr auch erwähnen das diese Lücke seit knapp 2 Monaten ( ! ) Bereits geschlossen ist!

Wenn Qnap Sicherheitslücken in dem Security Board öffentlich macht sie diese bereits per Firmware-Update geschlossen. Sprich jeder der einen Qnap NAS hat sollte das automatische installieren von Firmware bzw. Sicherheits-Updates aktiviert haben, so das der NAS das Update selbst herunter lädt und in der nächsten Nacht wenn ungenutzt installiert und neustartet. So das man am nächsten Tag gar nicht merkt das es ein Update gab außer man hat die E-Mail Benachrichtigung im NAS Aktiviert dann bekommst eine Mail an deine hinterlegte Adresse das ein Firmware Update ansteht und nächste Nacht automatisch durchgeführt wird....
 
Ach Qnap.... Hab ja noch eine uuuuralte TS439 Pro II. Samba 3 gabs nicht, Borg-Backup auch nicht. Rsync-Server bin ich mir nicht mehr sicher. Also zwischen den Jahren 2GB DDR1-RAM reingepackt und OMV installiert. Was soll ich sagen? Für einen single core atom läuft die Kiste als Backup-Nas erstaunlich gut :)
 
Zurück
Oben