Qnap hat eine Reihe von Softwareaktualisierungen veröffentlicht
Am Wochenende hat Qnap eine Vielzahl von Software-Updates für verschiedene Geräte und Zusatzfunktionen veröffentlicht. Im NAS-Betriebssystem QTS und QuTS hero haben die Entwickler einige Sicherheitslücken als besonders kritisch eingestuft.
Insgesamt wurden 13 Sicherheitsmeldungen von Qnap herausgegeben. Drei schwerwiegende Schwachstellen in QTS 5.1x und QuTS hero h5.1.x ermöglichen es Angreifern, eigenen Code einzuschleusen und auf den betroffenen Geräten auszuführen oder diese mit eigenen Befehlen zu manipulieren. In einigen Fällen benötigen die Angreifer dafür einen Benutzerzugang. In einem speziellen Fall können sie aus der Ferne Befehle einspielen, falls sie zuvor Administratorrechte erlangt haben (CVE-2024-32763, CVE-2024-38641, CVE-2024-21906). Die Versionen QTS 5.1.8.2823 Build 20240712 und QuTS hero h5.1.8.2823 Build 20240712 oder spätere beheben diese Sicherheitslücken.
Erweiterungen mit Schwachstellen
Qnap bewertet außerdem die Sicherheitslücken in der Zusatzsoftware Video Station als besonders kritisch. In Video Station 5.x können Angreifer über das Netzwerk Befehle in das Betriebssystem einschleusen (CVE-2023-47563) oder eine SQL-Injection-Schwachstelle ausnutzen, um schädlichen Code einzubringen (CVE-2023-50360). Die Entwickler haben diese Lücken in Video Station 5.8.2 und späteren Versionen behoben.
Qnap hat darüber hinaus weitere Sicherheitslücken mit mittlerem oder geringem Risiko in folgenden Produkten geschlossen: Notes Station 3 3.9.x, QVR Smart Client 2.4.x, Music Station 5.x, älteren QTS-Versionen (4.3.6, 4.3.4, 4.3.3, 4.2.6), curl sowie allgemein in QTS 5.1.x und QuTS hero h5.1.x, Helpdesk 3.3.x, QuLog Center 1.7.x und 1.8.x, QuMagie 2.3.x und in Download Station 5.8.x.
Nutzer dieser Produkte sollten prüfen, ob ihre Betriebssysteme und Zusatzsoftware auf dem neuesten Stand sind und gegebenenfalls ein Update durchführen.