{"id":288177,"date":"2023-11-13T19:38:38","date_gmt":"2023-11-13T18:38:38","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=288177"},"modified":"2023-11-13T19:49:41","modified_gmt":"2023-11-13T18:49:41","slug":"qnap-warnt-vor-schwachstellen-cve-2023-23368-cve-2023-23369-in-qts","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/11\/13\/qnap-warnt-vor-schwachstellen-cve-2023-23368-cve-2023-23369-in-qts\/","title":{"rendered":"QNAP warnt vor Schwachstellen CVE-2023-23368, CVE-2023-23369 in QTS"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" \/>[<a href=\"https:\/\/borncity.com\/win\/2023\/11\/13\/qnap-warns-of-vulnerabilities-cve-2023-23368-cve-2023-23369-in-qts\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Noch was von voriger Woche nachgeholt &#8211; der NAS-Hersteller QNAP hat eine Sicherheitswarnung f\u00fcr sein QTS-Betriebssystem f\u00fcr NAS-Stationen ver\u00f6ffentlicht. Die kritische Schwachstelle CVE-2023-23368 (CVSS Index 9.8) erm\u00f6glicht die Remote-Ausf\u00fchrung von Befehlen in \u00e4lteren QTS-Versionen. Eine weitere Schwachstelle CVE-2023-23369 (CVSS Index 9.0) erm\u00f6glicht ebenfalls Remote-Angriffe. Es stehen Updates zum Schlie\u00dfen der Schwachstelle bereit. Hier eine \u00dcbersicht \u00fcber diesen Sachverhalt.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg05.met.vgwort.de\/na\/c935a6ccfd9041b886074e64fbbeb280\" alt=\"\" width=\"1\" height=\"1\" \/>Die Sicherheitswarnung <a href=\"https:\/\/www.qnap.com\/en\/security-advisory\/qsa-23-31\" target=\"_blank\" rel=\"noopener\">QSA-23-31<\/a> datiert bereits vom 4. November 2023 und tr\u00e4gt den Titel <em>Vulnerability in QTS, QuTS hero, and QuTScloud. <\/em>Bei CVE-2023-23368 handelt es sich um eine Befehlsinjektionsschwachstelle, die gleich mehrere QNAP-Betriebssystemversionen betrifft. Remote-Angreifer k\u00f6nnen diese Schwachstelle ausnutzen, um \u00fcber ein Netzwerk Befehle auszuf\u00fchren. Die Schwachstelle ist mit einem CVSS Index 9.8 (von max. 10.0) als kritisch eingestuft. Betroffen sind folgende Betriebssystemversionen:<\/p>\n<ul>\n<li>QTS 5.0.x<\/li>\n<li>QTS 4.5.x<\/li>\n<li>QuTS hero h5.0.x<\/li>\n<li>QuTS hero h4.5.x<\/li>\n<li>QuTScloud c5.0.x<\/li>\n<\/ul>\n<p>Der Hersteller QNAP hat folgende Updates herausgegeben, die u.a. die obige Schwachstelle schlie\u00dfen:<\/p>\n<ul>\n<li>QTS 5.0.1.2376 build 20230421 and later<\/li>\n<li>QTS 4.5.4.2374 build 20230416 and later<\/li>\n<li>QuTS hero h5.0.1.2376 build 20230421 and later<\/li>\n<li>QuTS hero h4.5.4.2374 build 20230417 and later<\/li>\n<li>QuTScloud c5.0.1.2374 and later<\/li>\n<\/ul>\n<p>Es wird von QNAP empfohlen, die Software vorhandener NAS-Laufwerke mit den jeweils aktuellsten Firmware-Updates zu versehen, um solche Schwachstellen zu schlie\u00dfen. Die Vorgehensweise ist auf der <a href=\"https:\/\/www.qnap.com\/en\/security-advisory\/qsa-23-31\" target=\"_blank\" rel=\"noopener\">QNAP-Seite<\/a> beschrieben.<\/p>\n<p>Die Kollegen von Bleeping Computer <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/qnap-warns-of-critical-command-injection-flaws-in-qts-os-apps\/\" target=\"_blank\" rel=\"noopener\">erw\u00e4hnen<\/a> noch eine zweite Schwachstelle CVE-2023-23369, die in der Sicherheitswarnung <a href=\"https:\/\/www.qnap.com\/en-uk\/security-advisory\/qsa-23-35\" target=\"_blank\" rel=\"noopener\">QSA-23-35<\/a> vom 4. Nov. 2023 dokumentiert ist. Die Schwachstelle hat den CVSS-Index von 9.0 und l\u00e4sst sich ebenfalls remote ausnutzen. Betroffene Produkte sind:<\/p>\n<ul>\n<li>QTS 5.1.x, 4.3.6, 4.3.4, 4.3.3, 4.2.x;<\/li>\n<li>Multimedia Console 2.1.x, 1.4.x;<\/li>\n<li>Media Streaming Add-on 500.1.x, 500.0.x<\/li>\n<\/ul>\n<p>Die Schwachstelle wird durch die folgenden Software-Updates geschlossen:<\/p>\n<ul>\n<li>QTS 5.1.0.2399 build 20230515 and later<\/li>\n<li>QTS 4.3.6.2441 build 20230621 and later<\/li>\n<li>QTS 4.3.4.2451 build 20230621 and later<\/li>\n<li>QTS 4.3.3.2420 build 20230621 and later<\/li>\n<li>QTS 4.2.6 build 20230621 and later<\/li>\n<li>Multimedia Console 2.1.2 (2023\/05\/04) and later<\/li>\n<li>Multimedia Console 1.4.8 (2023\/05\/05) and later<\/li>\n<li>Media Streaming add-on 500.1.1.2 (2023\/06\/12) and later<\/li>\n<li>Media Streaming add-on 500.0.0.11 (2023\/06\/16) and later<\/li>\n<\/ul>\n<p>Auch hier l\u00e4sst sich die Vorgehensweise zum Update in der Sicherheitswarnung <a href=\"https:\/\/www.qnap.com\/en-uk\/security-advisory\/qsa-23-35\" target=\"_blank\" rel=\"noopener\">QSA-23-35<\/a> nachlesen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Noch was von voriger Woche nachgeholt &#8211; der NAS-Hersteller QNAP hat eine Sicherheitswarnung f\u00fcr sein QTS-Betriebssystem f\u00fcr NAS-Stationen ver\u00f6ffentlicht. Die kritische Schwachstelle CVE-2023-23368 (CVSS Index 9.8) erm\u00f6glicht die Remote-Ausf\u00fchrung von Befehlen in \u00e4lteren QTS-Versionen. Eine weitere Schwachstelle CVE-2023-23369 (CVSS Index &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/11\/13\/qnap-warnt-vor-schwachstellen-cve-2023-23368-cve-2023-23369-in-qts\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,426],"tags":[3081,4328],"class_list":["post-288177","post","type-post","status-publish","format-standard","hentry","category-gerate","category-sicherheit","tag-geraete","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/288177","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=288177"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/288177\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=288177"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=288177"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=288177"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}