Qnap warnt vor Codeschmuggel durch Schwachstellen
Qnap warnt vor Sicherheitslücken im QTS-Betriebssystem und der Multimedia Console, durch die Angreifer Schadcode einschleusen können.
(Bild: Photon photo/Shutterstock.com)
Qnap hat mehrere Sicherheitsmeldungen veröffentlicht, in denen das Unternehmen vor Schwachstellen im QTS-Betriebssystem und der Mutlimedia Console warnt. Aktualisierte Software zum Schließen der Lücken steht bereit. Administratoren von Qnap-Geräten sollten sicherstellen, die aktuellen Versionen der Firmware einzusetzen.
Eine Lücke betrifft die "Legacy" QTS-Betriebssysteme. Ein Kopiervorgang eines Puffers ohne vorherige Prüfung der Größe der Eingabe kann darin von bösartigen Akteuren missbraucht werden, um Schadcode einzuschleusen und auszuführen. Wie das aussieht und wo diese Kopieraktion stattfindet, erläutert Qnap jedoch nicht (CVE-2023-23363, CVSS 8.1, Risiko "hoch").
Qnap: Schwachstellen durch Kopieren ohne Längenprüfungen
Bei der zweiten Schwachstelle handelt es sich ebenfalls um einen potenziellen Pufferüberlauf aufgrund fehlender Längenprüfungen bei Kopiervorgängen. Auch hier können Angreifer möglicherweise beliebigen Code einschleusen und ausführen, wobei der Hersteller keine Angaben zu potenziellen Angriffsvektoren macht (CVE-2023-23364, CVSS 8.1, hoch).
Die Schwachstellen im Qnap-Betriebssystem QTS bessern die Updates auf die Versionen QTS 4.3.6.2441 Build 20230621, QTS 4.3.4.2451 Build 20230621, QTS 4.3.3.2420 Build 20230621 sowie QTS 4.2.6 Build 20230621 und neuere Fassungen aus. Diese stammen bereits vom Ende Juni. Wer sie noch nicht installiert hat, sollte das jetzt nachholen. Der Fehler findet sich nicht in QTS 5.x, 4.5.x, 4.4.x sowie QuTS hero, ergänzen die Qnap-Autoren.
Die Versionen der Multimedia Console 1.4.7 sowie 2.1.1 stopfen die Lücken in dieser Zusatzsoftware. Sie sind bereits seit Ende März verfügbar. Auch hier sollten Betroffene zügig die Aktualisierung anwenden.
Gegebenenfalls lassen sich die Aktualisierungen in der Bedienoberfläche der Geräte anstoßen. Im Control Panel unter "System" – "Firmware Update" stößt der Klick auf "Check for Update" unter "Live Update" den Vorgang an. Für ein manuelles Update lassen sich die Aktualisierungen auch nach Eingabe der Modellnummer im Download-Center herunterladen.
Anfang der Woche hat Qnap vor Schwachstellen in den QTS, QuTS hero und QuTScloud-Betriebssystemen gewarnt. Auch sie erlaubten Angreifern etwa das Einschleusen und Ausführen von Schadcode.
(dmk)
