Qnap: Updates für NAS beseitigen aus der Ferne ausnutzbare Schwachstelle
Betriebssystem-Updates für Qnaps Netzwerkspeicher (NAS) schließen zwei mit "Medium" bewertete Schwachstellen, von denen eine übers Internet attackierbar ist.
![](https://heise.cloudimg.io/width/610/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/3/1/2/2/1/8/2/shutterstock_1494931898-c7a3936b2d0e75ed.jpeg)
(Bild: Artur Szczybylo/Shutterstock.com)
Für Netzwerkspeicher (Network Attached Storage, NAS) von Qnap stehen neue Versionen der Betriebssysteme QTS und QuTS hero bereit; auch das Cloud-optimierte QuTScloud wurde aktualisiert. NAS-Besitzer sollten vorsichtshalber ein Update durchführen: Es beseitigt zwei Schwachstellen, die Angreifer unter bestimmten Voraussetzungen für den Zugriff auf sensible Daten missbrauchen könnten.
Zwar schätzt Qnap das Risiko jeweils nur als mittel ("Medium") ein; allerdings ist zumindest eine der Schwachstellen wohl auch aus der Ferne ausnutzbar.
Abgesicherte Versionen und weitere Infos
Die abgesicherten Versionsnummern nennt Qnap in zwei Advisories: Vor CVE-2021-20254, einer Schwachstelle in Samba, über die auch Qnap NAS angreifbar waren, schützen QTS-Versionen ab QTS 4.5.3.1670 Build 20210515 und QuTS hero-Versionen ab h4.5.3.1670 Build 20210515. Gegen die auch aus der Ferne ausnutzbare Schwachstelle CVE-2021-28815 sind Systeme mit QTS 4.5.3- und QuTS hero h4.5.2-Ausgaben mit myQNAPcloud Link ab Version 2.2.21 aufwärts gewappnet.
Weitere Informationen einschließlich Schritt-für-Schritt-Anleitungen zum Aktualisieren der Betriebssysteme und myQNAPcloud Link sind den folgenden Advisories zu entnehmen:
- CVE-2021-20254: SMB Out-of-Bounds Read Vulnerability in QTS and QuTS hero
- CVE-2021-28815: Insecure Storage of Sensitive Information in myQNAPcloud Link
(ovw)