TF-Systems Icon

Netatalk in Qnap NAS enthält teils kritische Sicherheitslücken

Server SAN Festplatten Techniker

Updates teilweise schon verfügbar

Qnap warnt vor Sicherheitslücken in mehreren Versionen der Betriebssysteme der NAS Speicher. Durch das mitgelieferte netatalk unterstützen die Geräte die Apple Netzwerkprotokolle. Allerdings hat eine veraltete Version von netatalk teils kritische Sicherheitslücken, die damit auch die NAS betreffen. Betroffen sind laut Qnap QTS 4.2.6, 4.3.3. 4.3.4, 4.3.6, 4.5.4 sowie 5.0.x und spätere, sowie QuTS hero h4.5.4 und h5.0.x und neuere sowie QuTScloud c5.0.x. Die Fehlerliste umfasst mehrere Einträge, darunter auch kritische Lecks.

Viele Schwachstellen gefunden

Wegen mangelhafter Fehlerhandhabung beim Verarbeiten von AppleDouble Einträgen könnten Angreifer Schadcode einschleusen, der mit Root Rechten läuft (CVE-2022-23121, CVSS 9.8, Risiko kritisch). Eine fehlende Längenprüfung von Parametern in der Funktion setfilparams könnten bösartige Akteure zum Ausführen von Code im root-Kontext missbrauchen (CVE-2022-23122, CVSS 9.8, kritisch). Auch in der Funktion copyapplfile kann eine fehlende Längenprüfung zur Ausführung von Code als root führen (CVE-2022-23125, CVSS 9.8, kritisch). Selber Fehler mit gleicher Auswirkung findet sich in der Funktion ad_addcomment (CVE-2022-0194, CVSS 9.8, kritisch). Aufgrund eines Heap-basierten Pufferüberlaufs könnten Angreifer Code im Kontext des laufenden Prozesses ausführen (CVE-2021-31439, CVSS 8.8, hoch). Zwei weitere Schwachstellen fallen bezüglich des potenziellen Schadens stark ab (CVE-2022-23123, CVSS 5.3, mittel sowie CVE-2022-23124, CVSS 5.3, mittel).

Teilweise eine Lösung verfügbar

Bislang steht lediglich eine Aktualisierung bereit, nämlich QTS 4.5.4.2012 Build 20220419. Für weitere Versionen arbeitet der Hersteller noch an Updates und will diese nach und nach veröffentlichen. Um zu überprüfen, ob eine Aktualisierung für das eingesetzte Gerät verfügbar ist, sollen Administratoren folgendermaßen vorgehen:

  • Anmeldung an QTS, QuTS hero oder QuTScloud als Administrator
  • Zu „Control Panel“ – „System“ – „Firmware Update“ gehen
  • Unter „Live Update“ auf „Check for Update“ klicken
  • Das Betriebssystem lädt die aktuelle Fassung herunter und installiert sie.

Qnap-Administratoren, die bis jetzt noch keine Aktualisierung für ihr Gerät finden, empfiehlt der Hersteller, bis zur Verfügbarkeit eines Updates die AFP-Funktionen zu deaktivieren.

Kategorie: Sicherheit
Schlagwörter: Sicherheitslücke

Nichts mehr verpassen!

Melde dich bei unserem Newsletter an.