Qnap: Updates für NAS beseitigen aus der Ferne ausnutzbare Schwachstelle
Betriebssystem-Updates für Qnaps Netzwerkspeicher (NAS) schließen zwei mit "Medium" bewertete Schwachstellen, von denen eine übers Internet attackierbar ist.
(Bild: Artur Szczybylo/Shutterstock.com)
Für Netzwerkspeicher (Network Attached Storage, NAS) von Qnap stehen neue Versionen der Betriebssysteme QTS und QuTS hero bereit; auch das Cloud-optimierte QuTScloud wurde aktualisiert. NAS-Besitzer sollten vorsichtshalber ein Update durchführen: Es beseitigt zwei Schwachstellen, die Angreifer unter bestimmten Voraussetzungen für den Zugriff auf sensible Daten missbrauchen könnten.
Zwar schätzt Qnap das Risiko jeweils nur als mittel ("Medium") ein; allerdings ist zumindest eine der Schwachstellen wohl auch aus der Ferne ausnutzbar.
Videos by heise
Abgesicherte Versionen und weitere Infos
Die abgesicherten Versionsnummern nennt Qnap in zwei Advisories: Vor CVE-2021-20254, einer Schwachstelle in Samba, über die auch Qnap NAS angreifbar waren, schützen QTS-Versionen ab QTS 4.5.3.1670 Build 20210515 und QuTS hero-Versionen ab h4.5.3.1670 Build 20210515. Gegen die auch aus der Ferne ausnutzbare Schwachstelle CVE-2021-28815 sind Systeme mit QTS 4.5.3- und QuTS hero h4.5.2-Ausgaben mit myQNAPcloud Link ab Version 2.2.21 aufwärts gewappnet.
Weitere Informationen einschließlich Schritt-für-Schritt-Anleitungen zum Aktualisieren der Betriebssysteme und myQNAPcloud Link sind den folgenden Advisories zu entnehmen:
- CVE-2021-20254: SMB Out-of-Bounds Read Vulnerability in QTS and QuTS hero
- CVE-2021-28815: Insecure Storage of Sensitive Information in myQNAPcloud Link
(ovw)
