[English]Der Anbieter von NAS-Systemen, QNAP, hat Updates für seine Firmware freigegeben. Zudem wird eine App aus Sicherheitsgründen deaktiviert, denn Remote-Angreifer können Code in die Firmware des NAS-Speichers injizieren. Für diese Schwachstelle gibt es wohl noch kein Sicherheitsupdate und die App wurde deaktiviert. Zudem scheint es so zu sein, dass Nutzer nach dem Umstieg auf QTS 5.0 Probleme melden. Hier ein Sammelbeitrag zu diesen Themen.
Anzeige
Aktuell finde ich es nicht mehr, aber die Tage habe ich auf Facebook die Anfrage eines Nutzers gesehen, dessen QNAP-System kompromittiert worden war, obwohl die Firmware aktuell sei. Ist mir durch den Kopf gegangen, als ich Freitag letzte Woche nachfolgenden Tweet von heise sah.
Schwachstelle in QTS und QuTS hero
Im Sicherheitshinweis QSA-21-50 vom 19. November 2021 gibt QNAP eine Schwachstelle in den QNAP NAS-Geräten mit QTS und QuTS hero bekannt. Es geht um eine Heap-basierte Pufferüberlaufschwachstelle, die QNAP NAS-Geräte betrifft, bei denen das Apple File Protocol (AFP) in QTS oder QuTS hero aktiviert ist. Wenn diese Sicherheitslücke ausgenutzt wird, können Angreifer beliebigen Code ausführen. QNAP hat diese Schwachstelle durch Firmware-Updates auf folgende Versionen geschlossen:
- QTS 5.0.0.1808 build 20211001 and later
- QTS 4.5.4.1800 build 20210923 and later
- QTS 4.3.6.1831 build 20211019 and later
- QTS 4.3.3.1799 build 20211008 and later
- QuTS hero h5.0.0.1844 build 20211105 and later
- QuTS hero h4.5.4.1813 build 20211006 and later
Der Hersteller empfiehlt ein zeitnahes Update der betreffenden NAS-Firmware.
Anzeige
Schwachstelle in Multimedia Console
Mit dem Freigabedatum 12. November 2021 hat QNAP zudem den Sicherheitshinweis QSA-21-45 veröffentlicht. In der Multimedia Console gibt es die Schwachstelle CVE-2021-38684. Diese Sicherheitslücke ermöglicht es Angreifern beliebigen Code auszuführen. Diese Sicherheitslücke wurde in den folgenden Versionen behoben:
- Multimedia Console 1.4.3 (2021/10/05) and later
- Multimedia Console 1.5.3 (2021/10/05) and later
Auch hier wurde ein Update auf die betreffende Version der Multimedia Console empfohlen.
Ungepatchte Schwachstelle
Heise weist in diesem Artikel darauf hin, dass es in Ragic Cloud DB eine ungepatchte Reflected XSS-Schwachstelle (CVE-2021-38681) gebe. QNAP hat im Sicherheitshinweis QSA-21-48 darauf hingewiesen, dass die reflektierte Cross-Site-Scripting (XSS)-Schwachstelle Remote Angreifern das Einschleusen von bösartigem Code ermöglicht. Da es noch kein Sicherheitsupdate gibt, wurde Ragic Cloud DB bereits deaktiviert und aus dem QNAP App Center entfernt, bis ein Sicherheits-Patch von Ragic zur Verfügung steht.
QTS 5.0 Probleme
Ich kann es nicht werten, da ich kein QNAP-NAS-Laufwerk einsetze. Auf Facebook sind mir in der Nutzergruppe einige Postings aufgefallen, die über Probleme nach dem Upgrade auf QTS 5.0 klagen. heise hatte im Sommer in diesem Beitrag über QTS 5.0 berichtet. Damals war noch alles Beta, aber nun sollen die Finals vorliegen und werden von den Leuten installiert. Hier eine Klage über Probleme in QTS 5.0:
Habe heute das Update auf qts 5 gewagt und prompt hat sich phpmyadmin verabschiedet. Keine Zugriffe auf die DB mehr möglich.
Die App ist noch auf der Oberfläche und kann gestartet werden. Bei der Eingabe des Passworts erscheint jedoch eine Fehlermeldung.
Im Control Panel unter Anwendungen fehlt nun auch der Eintrag SQL Server.
Ein Downgrade auf qts 4.5.4 brachte den alten Zustand wieder zurück. MySQL läuft wieder.
Ein Nutzer gab den Ratschlag, auf QTS 5.0x oder 5.1 zu warten. Ein weiterer Nutzer schreibt, dass das Problem bekannt sei, da beim Upgrade der MariaDB5-Server aus dem Appstore installiert werde. Beim Übertragen der alten Daten gibt es wohl Probleme mit Timeouts. Der Fehler können mit folgendem Befehl auf der SSH-Konsole behoben werden:
/usr/local/mysql/bin/mysqld --tc-heuristic-recover=ROLLBACK --basedir /usr/local/mysql --datadir /share/CACHEDEV1_DATA/.@qmariadb/data
Danach noch den Befehl:
/etc/init.d/mariadb5.sh stop
und den Befehl:
/etc/init.d/mariadb5.sh start
eingeben und es sollte wieder alles funktionieren. Wichtig wäre, den Pfad an die Gegebenheiten des NAS anzupassen (CACHEDEV1 könne zum Beispiel auch MD0_DATA sein). Ein weitere Benutzer schreibt in einem anderen Post:
War mal wieder so blöde und habe schon auf OS 5 geupdatet! habe nur probleme!!!
Allerdings ist das wenig aussagekräftig. Im Thread gibt es auch zwei Fraktionen: Ich habe keine Probleme, und die zweite Fraktion: Ich habe auch nur Probleme. Frage: Gibt es Leute, die mit QTS 5.0 Probleme haben und die benennen können?
Anzeige
Ganz aktuell: Gestern nagelneue QNAP in Betrieb genommen – ausgepackt – als erstes neuste Firmware drauf. Oh V5 irgendwas – wieder mal viel zusätzlicher Bullshit – aber gut – alles abgeschaltet was nervt und weiter – das Teil dient ja nur als zusätzliches Datenlager. Gerade vor zwei Stunden eingeloggt um zu prüfen, ob der RAID1 Sync fertig ist und es kam just die Meldung neue Firmware verfügbar.
Also gleich installiert, Reboot, Meldung: Filesystem is dirty…
Ach was? Nagelneue Box. RAID1 Sync war sauber fertig, neue FW drauf und die Box meldet Fehler im Filesystem…
Bitte "QNAS" in "QNAP" ändern – das braucht nicht veröffentlich werden.
Interessant wäre u.U. die Tatsache, dass schon die letzten QTS-Updates ziemlich hakelig waren. Im Juli hatte sich nach einem Update das Hardware-Monitoring dahingehend verabschiedet, dass die Lüfter durchgehend als nicht laufend angezeigt wurden. Erst im August nach dem nächsten Update war das wieder OK.
Deshalb habe ich vor dem Upgrade auf QTS 5 abgewartet und im QNAP-Forum mitgelesen. Recht bald, nachdem das erste QTS 5.0 rauskam, kam das zweite. Die Diskussion zu beiden hat mich nicht dazu gebracht, den Umstieg zu wagen – ein paar Tage danach waren beide Updates zurückgezogen. Ende letzter Woche gab es dann wieder eine neue Buildnummer für QTS 5. Aber ich werde wohl auch hier noch etwas beobachten. Im Moment hat die QNAP-Firmware was von Betatest.
Zu QNAS versus QNAP: Ist mein altes Problem, dass Siggi Freud immer zuschlägt und ich diesen Firmennamen samt Produktkategorie verbasele ;-).
Eigentlich kein Problem, sondern IT-spezifische Effizienz :)
ISCI IPv6 kann keine Verbindung mehr aufbauen. Bei v4 muss man die Datastores jeweils manuel über esxi mounten. Und sonst geht das Enterprise immer mehr Richtung Home User, mit tausend Funktionen und Apps.
Surveilance lässt sich nicht mehr öffnen!
Die App ist auf der Qnap Oberfläche vorhanden, klickt man sie an, passiert aber nichts.
Was ist da los, was wird da gespielt? Wann ist mit Reparatur zu rechnen?
VG
Alex
Habe in den letzten Tagen des Jahres 2021 vier NAS-Stationen von QNAP über 3 Standorte mit dem neuen Firmwareupdate bestückt.
Bei der 1. NAS – nach Update keinerlei Zugriffe mehr, auch Qfinder Pro hat diese nicht mehr gesehen. Nur ein Reset hinten an der NAS und dem dann wieder neuem Einstellen einiger Grundkonfigurationen hat die NAS wieder zum Leben erweckt.
Nun konnte ich mich heute an KEINER NAS-Station mehr anmelden.
Drei NAS-Stationen ließen sich über den Schalten vorn nicht herunterfahren, erst ein Festhalten von etwa 6 Sekunden hat ein abruptes Ausschalten bewirkt.
Wieder eingeschalten und bis jetzt laufen die Systeme.
Die vierte kann ich erst morgen versuchen wieder zum Leben zu erwecken, wenn ich dort vor Ort bin.
Das Update auf 5.0.0.1891 hat bei mir sehr viele Probleme verursacht und die NAS-Stationen laufen seit dem alle 4 nicht mehr so rund.
Wann soll es ein neues Update geben?
Beste Grüße an Alle hier!
Ronald
Bekomme nach dem Update (2 Qnap NAS) nur noch eine eingeschränkte Oberfläche.
Einstellungen und Appstore nicht mehr vorhanden. Kapersky warnt vor verbinden.
Zugriff auf die Verzeichnisse ist aber ungehindert möglich