Alert!

Qnap-Updates schließen hochriskante Lücke

Qnap hat aktualisierte Betriebssysteme veröffentlicht. Die neuen QTS-, QuTS-hero- und QuTScloud-Releases schließen teils hochriskante Lücken.

In Pocket speichern vorlesen Druckansicht 17 Kommentare lesen

(Bild: Shutterstock)

Lesezeit: 2 Min.
Von

In den Betriebssystemen QTS, QuTS hero sowie QuTScloud von Qnap klaffen Sicherheitslücken, durch die Angreifer etwa Befehle einschleusen können. Aktualisierte Firmware bessert die sicherheitsrelevanten Fehler aus.

Die schwerwiegendste Lücke erlaubt angemeldeten Nutzern aus dem Netz, Befehle auszuführen (CVE-2023-23362, noch kein CVSS-Wert, Risiko laut Qnap "hoch"). Zwei weitere Schwachstellen, durch die Schreiben außerhalb von vorgesehenen Speichergrenzen möglich wird, erlauben authentifizierten Angreifern aus dem Netz, die Geräte mit einem einen Denial-of-Service-Angriff lahmzulegen (CVE-2023-23358, CVE-2023-23359, kein CVSS-Wert, "mittel").

Eine dritte Sicherheitswarnung von Qnap betrifft NULL-Pointer-Dereferenzierungen, die bösartigen, authentifizierten Akteuren aus dem Netz Denial-of-Service-Attacken ermöglichen (CVE-2023-23360, CVE-2023-23361, kein CVSS-Wert, "mittel").

Die aktualisierten Betriebssysteme in den folgenden oder neueren Versionen dichten die Sicherheitslecks ab:

  • QTS 5.0.1.2376 Build 20230421
    QTS 4.5.4.2374 Build 20230416
    QuTS hero h5.0.1.2376 Build 20230421
    QuTS hero h4.5.4.2374 Build 20230417
    QuTScloud c5.0.1.2374

Die Aktualisierungen lassen sich in der Bedienoberfläche der Geräte anstoßen. Im Control Panel unter "System" – "Firmware Update" lässt sich das unter "Live Update" mit einem Klick auf "Check for Update" vornehmen. Für ein manuelles Update lassen sich die Abbilder auch nach Eingabe der Modellnummer im Download-Center herunterladen.

Zuletzt hatte Qnap Ende August die Betriebssysteme aktualisiert. Die neuen Fassungen korrigierten etwa eine zu schwache Verschlüsselung.

(dmk)