Qnap: Zahlreiche Updates für mehrere Produkte
Qnap hat eine Reihe von Softwareaktualisierungen veröffentlicht, die Schwachstellen in mehreren Produkten ausbessern.
(Bild: Bild erstellt mit KI in Bing Image Creator durch heise online / dmk)
Qnap hat am Wochenende eine ganze Reihe an Software-Aktualisierungen für zahlreiche Geräte und Zusatzfunktionen angekündigt. Von den damit im NAS-Betriebssystem QTS und QuTS hero geschlossenen Schwachstellen stufen die Entwickler einige als hohes Risiko ein.
Insgesamt 13 Sicherheitsmitteilungen hat der Qnap nun herausgegeben – die zugehörigen Updates datieren jedoch teils einige Monate zurück. Drei hochriskante Lücken in QTS 5.1x und QuTS hero h5.1.x ermöglichen Angreifern, eigenen Code einzuschleusen und auszuführen oder verwundbaren Geräten eigene Befehle unterzujubeln. Teils benötigen bösartige Akteure dafür einen Nutzerzugang. In einem Fall können Angreifer aus der Ferne Befehle einschleusen, wenn sie zuvor Admin-Rechte erlangt haben (CVE-2024-32763, CVE-2024-38641, CVE-2024-21906). Die Versionen QTS 5.1.8.2823 Build 20240712 und QuTS hero h5.1.8.2823 Build 20240712 oder jeweils neuere korrigieren die Fehler.
Zusatzfunktionen mit Sicherheitslücken
Außerdem stuft Qnap Sicherheitslecks in der Zusatzsoftware Video Station als hohes Risiko ein. Angreifer können in Video Station 5.x aus dem Netz Befehle an das Betriebssystem einschleusen (CVE-2023-47563) oder eine SQL-Injection-Lücke missbrauchen, um bösartigen Code einzuschmuggeln (CVE-2023-50360). In Video Station 5.8.2 und neueren Fassungen haben die Programmierer die Lücken geschlossen.
Weitere Sicherheitslücken mit mittlerem oder niedrigem Bedrohungsgrad hat Qnap zudem in folgenden Produkte geschlossen: Notes Station 3 3.9.x, QVR Smart Client 2.4.x, Music Station 5.x, in veralteten QTS-Versionen (4.3.6, 4.3.4, 4.3.3, 4.2.6), in curl und allgemein in QTS 5.1.x und QuTS hero h5.1.x, Helpdesk 3.3.x, QuLog Center 1.7.x und 1.8.x, QuMagie 2.3.x und in Download Station 5.8.x.
Wer diese Produkte einsetzt, sollte überprüfen, ob die Betriebssysteme und Zusatzsoftware bereits auf dem aktuellen Stand sind oder gegebenenfalls die Aktualisierung anstoßen.
Im Mai haben IT-Sicherheitsforscher diverse Sicherheitslücken in den NAS von Qnap entdeckt. Für nicht alle gab es zu dem Zeitpunkt bereits Sicherheitsflicken, für eine der Lücke stand schon Exploit-Code bereit.
Im Text verdeutlicht, dass die Updates zu den neuen Sicherheitsmitteilungen teils längere Zeit bereits verfügbar sind.
(dmk)