Qnap veröffentlicht NAS-Updates und deaktiviert sicherheitshalber eine App
[ad_1]
Aufgrund von mehreren Sicherheitslücken könnten Angreifer NAS-Systeme von Qnap ins Visier nehmen und nachdem erfolgreichen Attacken Schadcode bewerkstelligen. Da ein Sicherheitsupdate noch nicht verfügbar ist, nach sich ziehen die Entwickler eine App temporär fern.
Am gefährlichsten gelten zwei mit dem Bedrohungsgrad “hoch” eingestufte Schadcode-Lücken in den Betriebssystemen QTS und QuTS hero und Multimedia Console. Die Schwachstelle in den Systemen geht gen dasjenige Apple File Protocol (AFP) zurück. Hier könnten Angreifer einplanen und durch zusammenführen ausgelösten Speicherfehler (heap-based buffer overflow) Schadcode bewerkstelligen. Wie eine Attacke aussehen könnte, ist zurzeit nicht prominent.
Den Entwicklern zufolge sind dagegen die folgenden Versionen abgesichert:
- QTS 5.0.0.1808 build 20211001
- QTS 4.5.4.1800 build 20210923
- QTS 4.3.6.1831 build 20211019
- QTS 4.3.3.1799 build 20211008
- QuTS hero h5.0.0.1844 build 20211105
- QuTS hero h4.5.4.1813 build 20211006
Die Multimedia-Console-Lücke (CVE-202138684) kann ebenfalls qua Schlupfloch z. Hd. Schadcode herhalten. Unter ferner liefen hier sind keine Finessen zu Angriffsszenarien prominent. Qnap hat die reparierten Ausgaben 1.4.3 (2021/10/05) und 1.5.3 (2021/10/05) veröffentlicht.
Weitere Schwachstellen
Die Lücke (CVE-2021-34358 “mittel“) in QmailAgent könnten qua Ausgangspunkt z. Hd. eine CSFR-Attacke herhalten. Rechtsmittel schafft QmailAgent ab 3.0.2 (2021/08/25). Pro die Schwachstelle (CVE-2021-38681 “mittel“) in Ragic Cloud DB gibt es noch kein Sicherheitsupdate. Demzufolge hat Qnap die Inanspruchnahme temporär aus dem App Center fern, solange bis ein Patch verfügbar ist.
(des)