Wichtige Sicherheitsupdates für Netzwerkspeicher von Qnap

Angreifer könnten Netzwerkspeicher (NAS) von Qnap attackieren und wenn eine Attacke erfolgreich ist, Schadcode ausführen. Sicherheitspatches schließen die Lücken.

Eine in einer Warnmeldung mit dem Bedrohungsgrad "hoch" eingestufte XSS-Schwachstelle (CVE-2021-28812) könnte Code von Angreifer auf Systeme lassen. Dagegen abgesichert ist Video Station ab Version 5.5.4 unter den Betriebssysteme QTS 4.5.2, QuTS hero h4.5.2 und QuTScloud c4.5.4. Nicht betroffen sind Qnap zufolge QTS 4.3.3 mit Video Station 5.1.6 und QTS 4.3.6 mit Video Station 5.3.11.

Im Verwaltungstool Q'center findet sich ebenfalls eine mit "hoch" eingestufte XSS-Lücke (CVE-2021-28807). Auch hier könnte Schadcode auf NAS-Systeme gelangen. Dagegen sind die folgenden Versionen geschützt. Anwendungen kann man im App Center aktualisieren.

• QTS 4.5.3: ab Q’center v1.12.1012
• QTS 4.3.6: ab Q’center v1.10.1004
• QTS 4.3.3: ab Q’center v1.10.1004
• QuTS hero h4.5.2: ab Q’center v1.12.1012
• QuTScloud c4.5.4: ab Q’center v1.12.1012

Eine weitere XSS-Schwachstelle (CVE-2021-28806, "mittel") betrifft QTS und QuTS hero direkt. NAS-Besitzer sollten in den Einstellungen unter System sicherstellen, dass die aktuelle Firmware QTS 4.5.3.1652 Build 20210428, QuTS hero h4.5.2.1638 Build 20210414 oder QuTScloud c4.5.5.1656 Build 20210503 installiert ist. QTS 4.3.6 und QTS 4.3.3 sollen nicht betroffen sein.

(des)