QNAP: Lücke in QTS-Add-on machte NAS aus der Ferne angreifbar
(Bild: AFANASEV IVAN/Shutterstock.com)
Updates für das Media Streaming-Add-on sichern Netzwerkspeicher von QNAP gegen Remote-Attacken ab. Die Risikoeinstufung lautet "High".
Über eine Command Injection-Sicherheitslücke im Media Streaming-Add-on für mehrere Versionen des Betriebssystems QTS und QuTS hero Edition hätten entfernte Angreifer unter bestimmten Voraussetzungen beliebige Befehle auf Netzwerkspeichern (NAS) von QNAP zur Ausführung bringen können. Abgesicherte Add-on-Fassungen stehen bereit; der NAS-Hersteller rät zum zügigen Update.
Abgesicherte Add-on-Versionen
In seinem Security Advisory QSA-21-44 [1] stuft QNAP die von der Sicherheitslücke CVE-2021-34362 ausgehende Gefahr als "hoch" ein. Nutzer sollen auf folgende Add-on-Versionen aktualisieren:
- QTS 5.0.0: Media Streaming Add-on ab Version 500.0.0.3 (2021/08/20) aufwärts
- QTS 4.5.4: Media Streaming Add-on ab Version 500.0.0.3 (2021/08/20) aufwärts
- QTS 4.3.3: Media Streaming Add-on ab Version 430.1.8.12 (2021/09/29) aufwärts
- QuTS hero h5.0.0: Media Streaming Add-on ab Version 500.0.0.3 (2021/08/20) aufwärts
Zum Updaten loggt man sich bei QTS als Administrator ein, wechselt zum Media Center und nutzt dort die Suchfunktion. Ein Klick auf den "Update"-Button der angezeigt wird, sofern die aktuellste Version noch nicht installiert ist, wirft das Update an.
[2](ovw [3])
URL dieses Artikels:
https://www.heise.de/-6227458
Links in diesem Artikel:
[1] https://www.qnap.com/en/security-advisory/qsa-21-44
[2] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[3] mailto:o.v.westernhagen@outlook.de
Copyright © 2021 Heise Medien