zurück zum Artikel

Qnap veröffentlicht NAS-Updates und deaktiviert aus Sicherheitsgründen eine App

Dennis Schirrmacher

(Bild: Photon photo/Shutterstock.com)

Angreifer könnten Netzwerkspeicher von Qnap attackieren. Der Sicherheitspatch für eine Lücke steht noch aus.

Aufgrund von mehreren Sicherheitslücken könnten Angreifer NAS-Systeme von Qnap ins Visier nehmen und nach erfolgreichen Attacken Schadcode ausführen. Da ein Sicherheitsupdate noch nicht verfügbar ist, haben die Entwickler eine App temporär entfernt.

Am gefährlichsten gelten zwei mit dem Bedrohungsgrad "hoch" eingestufte Schadcode-Lücken in den Betriebssystemen QTS und QuTS hero [1] und Multimedia Console [2]. Die Schwachstelle in den Systemen geht auf das Apple File Protocol (AFP) zurück. Hier könnten Angreifer ansetzen und durch einen ausgelösten Speicherfehler (heap-based buffer overflow) Schadcode ausführen. Wie eine Attacke aussehen könnte, ist zurzeit nicht bekannt.

Den Entwicklern zufolge sind dagegen die folgenden Versionen abgesichert:

Die Multimedia-Console-Lücke (CVE-202138684) kann ebenfalls als Schlupfloch für Schadcode dienen. Auch hier sind keine Details zu Angriffsszenarien bekannt. Qnap hat die reparierten Ausgaben 1.4.3 (2021/10/05) und 1.5.3 (2021/10/05) veröffentlicht.

Die Lücke (CVE-2021-34358 "mittel") in QmailAgent [3] könnten als Ansatzpunkt für eine CSFR-Attacke dienen. Abhilfe schafft QmailAgent ab 3.0.2 (2021/08/25). Für die Schwachstelle (CVE-2021-38681 "mittel") in Ragic Cloud DB [4] gibt es noch kein Sicherheitsupdate. Demzufolge hat Qnap die Anwendung temporär aus dem App Center entfernt, bis ein Patch verfügbar ist.

(des [5])


URL dieses Artikels:
https://www.heise.de/-6272271

Links in diesem Artikel:
[1] https://www.qnap.com/de-de/security-advisory/qsa-21-50
[2] https://www.qnap.com/de-de/security-advisory/qsa-21-45
[3] https://www.qnap.com/de-de/security-advisory/qsa-21-49
[4] https://www.qnap.com/de-de/security-advisory/qsa-21-48
[5] mailto:des@heise.de