Qnap-Updates schließen hochriskante Lücke
Qnap hat aktualisierte Betriebssysteme veröffentlicht. Die neuen QTS-, QuTS-hero- und QuTScloud-Releases schließen teils hochriskante Lücken.
(Bild: Shutterstock)
In den Betriebssystemen QTS, QuTS hero sowie QuTScloud von Qnap klaffen Sicherheitslücken, durch die Angreifer etwa Befehle einschleusen können. Aktualisierte Firmware bessert die sicherheitsrelevanten Fehler aus.
Die schwerwiegendste Lücke erlaubt angemeldeten Nutzern aus dem Netz, Befehle auszuführen (CVE-2023-23362, noch kein CVSS-Wert, Risiko laut Qnap "hoch"). Zwei weitere Schwachstellen, durch die Schreiben außerhalb von vorgesehenen Speichergrenzen möglich wird, erlauben authentifizierten Angreifern aus dem Netz, die Geräte mit einem einen Denial-of-Service-Angriff lahmzulegen (CVE-2023-23358, CVE-2023-23359, kein CVSS-Wert, "mittel").
Qnap: Drei Sicherheitsmeldungen zu Lücken
Eine dritte Sicherheitswarnung von Qnap betrifft NULL-Pointer-Dereferenzierungen, die bösartigen, authentifizierten Akteuren aus dem Netz Denial-of-Service-Attacken ermöglichen (CVE-2023-23360, CVE-2023-23361, kein CVSS-Wert, "mittel").
Die aktualisierten Betriebssysteme in den folgenden oder neueren Versionen dichten die Sicherheitslecks ab:
- QTS 5.0.1.2376 Build 20230421
QTS 4.5.4.2374 Build 20230416
QuTS hero h5.0.1.2376 Build 20230421
QuTS hero h4.5.4.2374 Build 20230417
QuTScloud c5.0.1.2374
Die Aktualisierungen lassen sich in der Bedienoberfläche der Geräte anstoßen. Im Control Panel unter "System" – "Firmware Update" lässt sich das unter "Live Update" mit einem Klick auf "Check for Update" vornehmen. Für ein manuelles Update lassen sich die Abbilder auch nach Eingabe der Modellnummer im Download-Center herunterladen.
Zuletzt hatte Qnap Ende August die Betriebssysteme aktualisiert. Die neuen Fassungen korrigierten etwa eine zu schwache Verschlüsselung.
(dmk)
