Update korrigiert Verschlüsselung von Qnap-Betriebssystemen

Qnap hat aktualisierte Betriebssystemversionen veröffentlicht. Sie schließen insgesamt drei Sicherheitslücken, von denen die Entwickler eine als hochriskant einstufen. Betroffen sind die Geräte mit den Betriebssystemen QTS und QuTS hero, also die NAS-Geräte des Herstellers.

Die schwerwiegendste Lücke beschreibt Qnap als "ungenügende Verschlüsselungsstärke", die in mehreren Qnap-Betriebssystemen gemeldet wurde. Angreifer aus dem lokalen Netz könnten dadurch mit Bruteforce-Angriffen die Daten entschlüsseln. Angriffsvektoren seien unspezifiziert (CVE-2023-34971, CVSS 7.1, Risiko "hoch").

Qnap: Weitere Lücken

Der Hersteller meldet zudem weitere Schwachstellen. Sensible Informationen könnten im Klartext übertragen werden (CVE-2023-34972, CVSS 3.5, niedrig) sowie mit unzureichendes Entropie, sodass Angreifer möglicherweise Geheimnisse erraten könnten (CVE-2023-34973, CVSS 3.1, niedrig).

Die Fehler korrigieren die Betriebssystemversionen

• QTS 5.1.0.2444 Build 20230629,
• QTS 5.0.1.2425 Build 20230609,
• QTS 4.5.4.2467 Build 20230718,
• QuTS hero h5.1.0.2424 Build 20230609 sowie
• QuTS hero h4.5.4.2476 Build 20230728 und neuere.

Die 4.5er-Versionen sind lediglich von der hochriskanten Schwachstelle betroffen, die als niedrige Bedrohung eingestuften Sicherheitslücken finden sich darin laut Qnap nicht. Nutzerinnen und Nutzer können sich zur Aktualisierung mit Administrator-Konto in QTS oder QuTS hero anmelden und im Control-Panel unter "System" – "Firmware Update" mit "Live Update" die Aktualisierung suchen und installieren lassen.

Zuletzt hatte Qnap Ende Juli Sicherheitslücken in mehreren Netzwerkgeräten schließen müssen. Die Aktualisierungen behoben dabei einen sicherheitsrelevanten Fehler, der als hochriskant eingestuft wurde und das Lahmlegen der Geräte aus dem Netz ermöglichte.

(dmk)