[English]Zum 29. März 2023 hat der Hersteller QNAP einen Sicherheitshinweis für sein QTS-Betriebssystem veröffentlicht. Mit einem Update der QTS-Software schließt der Hersteller die Schwachstellen CVE-2022-3437, CVE-2022-3592, CVE-2022-27597, CVE-2022-27598, CVE-2022-42898, CVE-2023-22809. Hier ein kurzer Überblick über diese Thematik.
Anzeige
Ein Blog-Leser hat mich in einem Kommentar auf den QNAP Sicherheitshinweis QTS 5.0.1.2346 build 20230322 vom 29. März 2023 aufmerksam gemacht. Der Hersteller aus Taiwan bietet ein Firmware-Update für seine NAS-Laufwerke an, welches die Schwachstellen CVE-2022-3437, CVE-2022-3592, CVE-2022-27597, CVE-2022-27598, CVE-2022-42898 und CVE-2023-22809 schließt. Details zu diesen Schwachstellen finden sich in den QNAP Security Advisories, die zum 30. März 2023 schon wieder zusätzliche Schwachstellen dokumentieren. Die Schwachstelle CVE-2023-22809 besteht in sudo der Firmware-Varianten QTS, QuTS hero, QuTScloud, QVP (QVR Pro appliances). Die Schwachstelle wird laut Advisory als hoch bezeichnet und betrifft die folgenden OS-Versionen:
- QTS 5.0.1.2346 build 20230322 und später
- QuTS hero h5.0.1.2348 build 20230324 und später
QNAP empfiehlt die NAS-Systeme auf die neueste Version des Betriebssystems zu aktualisieren, um die Schwachstellen zu beseitigen. Die betroffenen Produkte (QNAS-Modelle) lasse sich dem Advisory QTS 5.0.1.2346 build 20230322 entnehmen.
Im betreffenden Update wurde zudem ein Problem behoben, das nach der Installation der QXP-T32P-Erweiterungskarte zu niedrigen Downloadgeschwindigkeiten auf dem TVS-h1688X führte. Es wurde ein Problem behoben, bei dem sich ein NAS unerwartet von einer VPN-Verbindung abmeldete, wenn der NAS als VPN-Client zur Verbindung mit einem OpenVPN-Server verwendet wurde.
QNAP führt aber in seinem Advisory verschiedene bekannte Probleme auf. QTS und QuTS hero mit neueren Kernel-Versionen unterstützen keine ATTO-Fibre-Channel-Adapter. Wenn Sie bereits einen ATTO Fibre-Channel-Adapter auf Ihrem Gerät installiert haben, empfehlen wir, die Firmware vorerst nicht auf QTS 5.0.1 oder QuTS hero h5.0.1 zu aktualisieren.
Anzeige
Die Thunderbolt-Verbindung zwischen dem NAS und dem Mac kann manchmal nicht automatisch wiederhergestellt werden, nachdem der Benutzer das NAS neu gestartet hat. Zudem können Netzwerkverbindungsprobleme auftreten, wenn Benutzer beide 10 GbE-Ports der QXG-10G2SF-CX4-Netzwerkerweiterungskarte zu einem virtuellen Switch hinzufügen.
Anzeige
Ich habe keine Ahnung, was QNAP da eben angestellt hat.
Ich komme seit deinem Post nicht mehr auf mein NAS.
Weder per SMB noch über das Webinterface.
Günni, warst du das?
*grumml*
Nachtrag:
Nach einem Neustart des Rechners konnte ich die Verindung wieder herstellen.
Das Update wird mir allerdings nicht angeboten: TS-251+
Abwarten, das Modell ist bereits als "Legacy" markiert, nicht mehr im Handel und damit nahe am End of Life:
https://www.qnap.com/de-de/product/status?product_line=1&bay=2
Solche Modell sind bei den Updates in der Regel später an der Reihe. Das Update ist jetzt aber da:
https://www.qnap.com/de-de/download?model=ts-251%2B&category=firmware
Achtung, da gibt es auch eine 5.1 beta. Da wäre ich vorsichtig. Einfach manuell herunterladen und am NAS unter Firmware einspielen, wenn das Auto-Update noch nix findet.
Gruß Singlethreaded
Ich habe exakt das gleiche Problem mit dem gleichen Gerät. Kurioser Weise komme ich mit der Handy App drauf, aber mit keinem Rechner mehr. Hat jemand eine Idee ?
der Fehler lag bei mir *ichdumpfbacke*
Mein MBP war im Gast WLAN und konnte deshalb nicht auf mein NAS.
Wenn du mit dem Smartphone drauf kommst, solltest du dir die Log Einträge mal anschauen. Die sind i.d.R. recht hilfreich.
Gruß