Heimserver-Betriebssystem: Updates beheben Sicherheitslücken in Unraid

Aktuelle Versionen des Heimserver-Betriebssystems Unraid beheben verschiedene, teils kritische Sicherheitslücken. Das gab das Unraid-Team seinen Kunden in einem Newsletter bekannt. Updates stehen bereit und Admins sollten diese zügig einspielen.

Die schwerste der vier Sicherheitslücken ist ein Cross-Site-Scripting (XSS) wie aus dem Lehrbuch: Über einen URL-Parameter im webbasierten Dateibrowser können Angreifer Unraid-Admins Javascript-Code unterschieben. Sie müssen ihr Opfer jedoch dazu bringen, auf einen präparierten Link zu klicken, während es im Unraid-Webinterface eingeloggt ist. Auch in einem Parameter der Geräteeinstellungen von Unraid verbirgt sich ein XSS.

Auf den Plätzen:

• Eine Cross-Site Request Forgery (CSRF), die zum Sessionklau und möglicherweise Code-Einschleusung führt,
• Ein Stored XSS in verschiedene Datenbankfelder – auch hier steht Codeausführung im Raum.
• Eine Schwäche im Unraid Community-Appstore, die Angreifern nach der feindlichen Übernahme eines Github-Repositories ermöglicht hätte, bösartige Applikationsvorlagen einzuschleusen.

Updates für Unraid 6 einspielen oder auf 7 upgraden

Alle Sicherheitslücken sind in der Anfang Januar veröffentlichten neuesten Major-Version 7.0.0 und in einem Bugfix-Release für die Vorgängerversion behoben. Die Aktualisierung trägt die Versionsnummer 6.12.15 und behebt zudem Sicherheitslücken in den mitgelieferten git- und rsync-Binaries.

Admins, die einen Unraid-Server daheim oder im Unternehmen pflegen, sollten die Updates zügig einspielen.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.

YouTube-Video immer laden YouTube-Video jetzt laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(cku)