QTS 5.0.0-Sicherheitsupdates für QNAP-NAS Geräte (8. Juni 2022)

Sicherheit (Pexels, allgemeine Nutzung)[English]Kurzer Hinweis an Leser und Leserinnen, die NAS-Laufwerke von QNAP im Einsatz haben. In der QTS 5.0.0-Software gibt es in älteren Versionen gravierende Schwachstellen, die am 8. Juni 2022 mit einem Update der Firmware auf QTS 5.0.0.2055 build 20220531 beseitigt wurden. Die Installation dieses Updates ist dringend angeraten. Ältere QTS-Versionen (4.x etc.) sollten längst gefixt sein.


Anzeige

Blog-Leser Singlethread wies in einem Kommentar im Diskussionsbereich auf dieses Firmware-Update für QTS 5.x und die geschlossenen Schwachstellen hin (danke dafür).

Falls jemand QNAP-NAS Geräte verwendet. Es gibt wieder wichtige Updates in der Version QTS 5.0.0.2055 build 20220531, welche am 08.06.2022 veröffentlicht wurde.

Der Hersteller QNAP hat in mehreren Security Advisories nähere Details zu den geschlossenen Schwachstellen offen gelegt. In der Übersichtsseite von QNAP zu veröffentlichten Security Advisories konnte ich nichts dazu finden – die letzten Updates stammen vom Mai 2022. Der Hintergrund ist, dass es sich um altbekannte Schwachstellen vom März und April 2022 handelt, die aber erst jetzt in QTS 5.0.0 geschlossen wurden.

QSA-22-06: Schwachstelle CVE-2022-0778

Die Schwachstelle CVE-2022-0778 (Infinite Loop Vulnerability in OpenSSL) ist seit dem 29. März 2022 bekannt und eigentlich längst gefixt. QNAP hat aber gemäß QSA-22-06 erst zum 10. Juni 2022 die entsprechende QTS 5.0.0-Version zum Schließen der Schwachstelle veröffentlicht.

QSA-22-22: Mehrere Schwachstellen

Im Security Advisory QSA-22-12 vom 25. April 2022 werden gleich mehrere Schwachstellen (CVE-2021-31439, CVE-2022-23121, CVE-2022-23123, CVE-2022-23122, CVE-2022-23125, CVE-2022-23124, CVE-2022-0194) im Apache HTTP Server beschrieben. Mit dem zum 10. Juni 2022 veröffentlichten Firmware-Update wurden diese Schwachstellen auch in QTS 5.0.0 geschlossen.


Anzeige

QSA-22-11: Mehrere Schwachstellen

Im Security Advisory QSA-22-11 vom 20. April 2022 werden gleich mehrere Schwachstellen (CVE-2022-22719, CVE-2022-22720, CVE-2022-22721, CVE-2022-23943) im Apache HTTP Server beschrieben. Mit dem zum 10. Juni 2022 veröffentlichten Firmware-Update wurden diese Schwachstellen auch in QTS 5.0.0 geschlossen.


Anzeige

Dieser Beitrag wurde unter Geräte, Sicherheit, Software, Update abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu QTS 5.0.0-Sicherheitsupdates für QNAP-NAS Geräte (8. Juni 2022)

  1. Ben sagt:

    QNAP regt mich langsam tierisch auf.
    Punkt 1: wieso dauert es Monate, bis diese Lücken in QTS gefixt werden?
    Punkt 2: jedes Update ist eine Überraschungstüte. Gefühlt jedes Mal funktioniert hinterher irgendwas anderes nicht mehr. Bei diesem Update hat es jetzt mein TimeMachine-Backup erwischt. Seither lässt sich mein Laptop nicht mehr sichern, warum auch immer.

    Geht es nur mir so?

  2. Marco sagt:

    Ich habe das Update gestern / heute auf meine NASsen installiert (TS-431P/231P). Mir sind bis jetzt keine Schnitzer aufgefallen. Im großen und ganzen lief das die letzten Monate immer recht Problemlos. Nur diese riesen Icons auf dem NAS Desktop seit Version 5.x sehen etwas gewöhnungsbedürftig aus.

  3. icke sagt:

    Nach unangenehmen Erfahrungen mit QNAP-Firmware-Updates lese ich vor der Installation immer im QNAP-Forum, was über das neue Update berichtet wird (s. https://forum.qnapclub.de/board/129-firmware-allgemein/).
    Im Moment bin ich in der glücklichen Lage, ein etwas weniger wichtiges System stehen zu haben, sodass erst dieses und dann das wichtigere updaten kann.

    • Ben sagt:

      Danke für den Tipp mit dem Forum, sollte ich künftig wohl auch so machen. Da mein NAS nicht ins Internet exponiert ist (ohnehin von QNAP nicht empfohlen), kann ich mir mit Updates _etwas_ mehr Zeit lassen.

  4. zr0ptch sagt:

    Unsere TS-1683XU-RP startet nach dem FW Update nicht mehr. Auch ein Einschalten per Knopfdruck funktioniert nicht mehr. Die NAS ist komplett tot.

    Festplatten und alles abgesteckt und gewartet.. Keine Reaktion.

    Mittlerweile ist es 50/50 bei QNAP Updates ob danach alles Reibungslos funktioniert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.