ComputerBase Menü
Aktuelles

News Sicherheitslücken in Qnap-NAS-Systemen

M

mischaef

Kassettenkind
Teammitglied
Registriert
Aug. 2012
Beiträge
6.147
Qnap hat zurzeit mit gravierenden Sicherheitslücken in seinen NAS- und anderen Systemen zu kämpfen. Durch diese können Angreifer im Fernzugriff potenziell beliebige Anweisungen als Administrator ausführen. Hiervon soll eine Vielzahl der Speicher- als auch der Videoüberwachungssysteme des Herstellers betroffen sein.

Zur News: Sicherheitslücken in Qnap-NAS-Systemen
 
Qnaps NAS-Systeme sind ebenfalls betroffen, wenn auf diesen die Surveillance Station Pro installiert ist.
Zum Vergrößern anklicken....
Verständnisfrage:
bedeutet dies, dass QNAP Systeme nur dann betroffen sind wenn dieser Surveillance Station Pro installiert ist, oder auch wenn einfach der Webserver läuft und Remote Zugriff über DynDNS oder ähnliches aktiviert ist?
 
Diese spezielle Software wird sich vermutlich hacken lassen um den ungewünschten Zugriff damit erlauben.
Sprich wenn man diese Software nicht installiert und eine passende Firmware hat, dann sollte man nicht betroffen sein.
 
Zuletzt bearbeitet:
Das ist ja nix neues. Seit einiger Zeit hübscht QNap lediglich die Oberfläche auf und implementiert neue Features, statt die Basis mal vernünftig zu pflegen. Bereits im Stand von vor einem halben Jahr gab es bereits schwerwiegende Sicherheitslücken, die es trotz Hinweise aus der Beta in die Final geschafft haben.
http://techblog.teimotronic.de/?p=253
 
Zuletzt bearbeitet:
Würde auch mich interessieren ob hier wirklich nur die Installation ausreicht um das System verwundbar zu machen oder ob das Programm auch aktiviert sein muss.
 
Ist die normale Surveillance Station (ohne Pro) auch betroffen?
 
Fix ist bereits raus.

PS: Die neue Firmware 4.0.x ist raus ;)
 
Green Mamba schrieb:
Das ist ja nix neues. Seit einiger Zeit hübscht QNap lediglich die Oberfläche auf und implementiert neue Features, statt die Basis mal vernünftig zu pflegen. Bereits im Stand von vor einem halben Jahr gab es bereits schwerwiegende Sicherheitslücken, die es trotz Hinweise aus der Beta in die Final geschafft haben.
https://teimotronic.de/?p=253
Zum Vergrößern anklicken....

Wenn ich es richtig gelesen habe, bezieht sich das auf die Version 3.81. Gilt dies auch für die aktuelle Version 3.83 ?
 
wie bereits oben erwähnt, ist die aktuelle version 4.0, nicht mehr 3.83. habe es bei mir bereits installiert, läuft alles prima. das einzige was eingebrochen ist, ist der datendurchsatz. nur noch mit 35-30 mb up und download. da muss ich mal schauen :(
 
LuzidDream schrieb:
Würde auch mich interessieren ob hier wirklich nur die Installation ausreicht um das System verwundbar zu machen oder ob das Programm auch aktiviert sein muss.
Zum Vergrößern anklicken....

Nein, auf dem NAS müssen keine Programme aktiviert sein. Es reicht, wenn die CGI-Skripte im passenden Verzeichnis liegen. pingping.cgi kann sogar OHNE Benutzeranmeldung ausgeführt werden!
 
[n]ARC schrieb:
wie bereits oben erwähnt, ist die aktuelle version 4.0, nicht mehr 3.83. habe es bei mir bereits installiert, läuft alles prima. das einzige was eingebrochen ist, ist der datendurchsatz. nur noch mit 35-30 mb up und download. da muss ich mal schauen :(
Zum Vergrößern anklicken....

Bis vorgestern war es noch die Version 3.83. Hier gab es "über Nacht" das beschriebene Update.
Habe es inzwischen eingespielt und ich kann höchstens einen geringfügigen Rückgang in der Übertragungsrate feststellen.
Möglicherweise benötigt die neue Firmware mehr Hauptspeicher und eine Aufrüstung desselben.
Bei mir sind es 2GB und es läuft.
 
computerbase107 schrieb:
Bis vorgestern war es noch die Version 3.83. Hier gab es "über Nacht" das beschriebene Update.
Habe es inzwischen eingespielt und ich kann höchstens einen geringfügigen Rückgang in der Übertragungsrate feststellen.
Möglicherweise benötigt die neue Firmware mehr Hauptspeicher und eine Aufrüstung desselben.
Bei mir sind es 2GB und es läuft.
Zum Vergrößern anklicken....

hmm, naja habe eigentlich immer >500 MB an ram frei. mein QNAP ist komplett stock. Läuft eigentlich schon seit über einem Jahr absolut schmerzfrei. Bei >500 MB freiem ram, sehe ich eigentlich keine notwendigkeit den ram aufzustocken. mal im offizielen qnap forum stöbern.
 
@[n]ARC
Nun gut, es war ein Hinweis mit dem Hauptspeicher, mehr nicht.
Hast Du die Marvell-CPU oder die Intel-CPU in Deinem Nas wegen dem Performance-Einbruch ?
 
Ist ein Intel Atom mit 1.8 Ghz.
 
nein eigentlich nicht, twonky über das neue App Center, DLNA für meinen Sony Bravia und die Musik Station, ab und an RSync. Aber an sich ist das System nicht ausgelastet. Im Moment cacht twonky auch nichts, daher kompletter Leerlauf.
 
Kannst Du in Etwa beschreiben um wieviel die Schreib- und Lese-Performance mit der neuen Firmware schlechter geworden ist ?
 
mit der 3.8.3er hatte ich imd down und upstream immer zwischen 80-105 MB/s. Mit der neuen kommt der garnicht mehr aus dem knick: 25-35 MB/s :(
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Ranayna
WARNUNG: Aktuelle 0Day Luecke in QNAP NAS Systemen.
Antworten
10
Aufrufe
1.744
Tamron
Tamron
Frank
News QNAP: NAS-Systeme von Ransom­ware „eCh0raix“ angegriffen
4 5 6
Antworten
103
Aufrufe
13.833
Phear
Phear
schlagschnurr
BackUp zwischen zwei NAS-Systemen
Antworten
11
Aufrufe
1.140
/root
/root
Parwez
News Qfix 1.0.1: QNAP behebt „Shellshock“-Lücke bei NAS-Systemen
2
Antworten
36
Aufrufe
6.140
computerbase107
computerbase107
F
Sonderzeichen + Umlaute bei QNAP Nas System
Antworten
2
Aufrufe
7.588
fartlite
F
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz