QNAP veröffentlicht NAS-Update und deaktiviert eine App

Sicherheit (Pexels, allgemeine Nutzung)[English]Der Anbieter von NAS-Systemen, QNAP, hat Updates für seine Firmware freigegeben. Zudem wird eine App aus Sicherheitsgründen deaktiviert, denn Remote-Angreifer können Code in die Firmware des NAS-Speichers injizieren. Für diese Schwachstelle gibt es wohl noch kein Sicherheitsupdate und die App wurde deaktiviert. Zudem scheint es so zu sein, dass Nutzer nach dem Umstieg auf QTS 5.0 Probleme melden. Hier ein Sammelbeitrag zu diesen Themen.


Anzeige

Aktuell finde ich es nicht mehr, aber die Tage habe ich auf Facebook die Anfrage eines Nutzers gesehen, dessen QNAP-System kompromittiert worden war, obwohl die Firmware aktuell sei. Ist mir durch den Kopf gegangen, als ich Freitag letzte Woche nachfolgenden Tweet von heise sah.

QNAP-Sicherheit

Schwachstelle in QTS und QuTS hero

Im Sicherheitshinweis QSA-21-50 vom 19. November 2021 gibt QNAP eine Schwachstelle in den QNAP NAS-Geräten mit QTS und QuTS hero bekannt. Es geht um eine Heap-basierte Pufferüberlaufschwachstelle, die QNAP NAS-Geräte betrifft, bei denen das Apple File Protocol (AFP) in QTS oder QuTS hero aktiviert ist. Wenn diese Sicherheitslücke ausgenutzt wird, können Angreifer beliebigen Code ausführen. QNAP hat diese Schwachstelle durch Firmware-Updates auf folgende Versionen geschlossen:

  • QTS 5.0.0.1808 build 20211001 and later
  • QTS 4.5.4.1800 build 20210923 and later
  • QTS 4.3.6.1831 build 20211019 and later
  • QTS 4.3.3.1799 build 20211008 and later
  • QuTS hero h5.0.0.1844 build 20211105 and later
  • QuTS hero h4.5.4.1813 build 20211006 and later

Der Hersteller empfiehlt ein zeitnahes Update der betreffenden NAS-Firmware.

Schwachstelle in Multimedia Console

Mit dem Freigabedatum 12. November 2021 hat QNAP zudem den Sicherheitshinweis QSA-21-45 veröffentlicht. In der Multimedia Console gibt es die Schwachstelle CVE-2021-38684. Diese Sicherheitslücke ermöglicht es Angreifern beliebigen Code auszuführen. Diese Sicherheitslücke wurde in den folgenden Versionen behoben:

  • Multimedia Console 1.4.3 (2021/10/05) and later
  • Multimedia Console 1.5.3 (2021/10/05) and later

Auch hier wurde ein Update auf die betreffende Version der Multimedia Console empfohlen.

Ungepatchte Schwachstelle

Heise weist in diesem Artikel darauf hin, dass es in Ragic Cloud DB eine ungepatchte Reflected XSS-Schwachstelle (CVE-2021-38681) gebe. QNAP hat im Sicherheitshinweis QSA-21-48 darauf hingewiesen, dass die  reflektierte Cross-Site-Scripting (XSS)-Schwachstelle Remote Angreifern das Einschleusen von bösartigem Code ermöglicht. Da es noch kein Sicherheitsupdate gibt, wurde Ragic Cloud DB bereits deaktiviert und aus dem QNAP App Center entfernt, bis ein Sicherheits-Patch von Ragic zur Verfügung steht.

QTS 5.0 Probleme

Ich kann es nicht werten, da ich kein QNAP-NAS-Laufwerk einsetze. Auf Facebook sind mir in der Nutzergruppe einige Postings aufgefallen, die über Probleme nach dem Upgrade auf QTS 5.0 klagen. heise hatte im Sommer in diesem Beitrag über QTS 5.0 berichtet. Damals war noch alles Beta, aber nun sollen die Finals vorliegen und werden von den Leuten installiert. Hier eine Klage über Probleme in QTS 5.0:


Anzeige

Habe heute das Update auf qts 5 gewagt und prompt hat sich phpmyadmin verabschiedet. Keine Zugriffe auf die DB mehr möglich.

Die App ist noch auf der Oberfläche und kann gestartet werden. Bei der Eingabe des Passworts erscheint jedoch eine Fehlermeldung.

Im Control Panel unter Anwendungen fehlt nun auch der Eintrag SQL Server.

Ein Downgrade auf qts 4.5.4 brachte den alten Zustand wieder zurück. MySQL läuft wieder.

Ein Nutzer gab den Ratschlag, auf QTS 5.0x oder 5.1 zu warten. Ein weiterer Nutzer schreibt, dass das Problem bekannt sei, da beim Upgrade der MariaDB5-Server aus dem Appstore installiert werde. Beim Übertragen der alten Daten gibt es wohl Probleme mit Timeouts. Der Fehler können mit folgendem Befehl auf der SSH-Konsole behoben werden:

/usr/local/mysql/bin/mysqld --tc-heuristic-recover=ROLLBACK --basedir /usr/local/mysql --datadir /share/CACHEDEV1_DATA/.@qmariadb/data

Danach noch den Befehl:

/etc/init.d/mariadb5.sh stop

und den Befehl:

/etc/init.d/mariadb5.sh start

eingeben und es sollte wieder alles funktionieren. Wichtig wäre, den Pfad an die Gegebenheiten des NAS anzupassen (CACHEDEV1 könne zum Beispiel auch MD0_DATA sein).  Ein weitere Benutzer schreibt in einem anderen Post:

War mal wieder so blöde und habe schon auf OS 5 geupdatet! habe nur probleme!!!

Allerdings ist das wenig aussagekräftig. Im Thread gibt es auch zwei Fraktionen: Ich habe keine Probleme, und die zweite Fraktion: Ich habe auch nur Probleme. Frage: Gibt es Leute, die mit QTS 5.0 Probleme haben und die benennen können?


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit Sicherheit, Update verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu QNAP veröffentlicht NAS-Update und deaktiviert eine App

  1. Olli sagt:

    Ganz aktuell: Gestern nagelneue QNAP in Betrieb genommen – ausgepackt – als erstes neuste Firmware drauf. Oh V5 irgendwas – wieder mal viel zusätzlicher Bullshit – aber gut – alles abgeschaltet was nervt und weiter – das Teil dient ja nur als zusätzliches Datenlager. Gerade vor zwei Stunden eingeloggt um zu prüfen, ob der RAID1 Sync fertig ist und es kam just die Meldung neue Firmware verfügbar.

    Also gleich installiert, Reboot, Meldung: Filesystem is dirty…

    Ach was? Nagelneue Box. RAID1 Sync war sauber fertig, neue FW drauf und die Box meldet Fehler im Filesystem…

  2. icke sagt:

    Bitte "QNAS" in "QNAP" ändern – das braucht nicht veröffentlich werden.

    Interessant wäre u.U. die Tatsache, dass schon die letzten QTS-Updates ziemlich hakelig waren. Im Juli hatte sich nach einem Update das Hardware-Monitoring dahingehend verabschiedet, dass die Lüfter durchgehend als nicht laufend angezeigt wurden. Erst im August nach dem nächsten Update war das wieder OK.
    Deshalb habe ich vor dem Upgrade auf QTS 5 abgewartet und im QNAP-Forum mitgelesen. Recht bald, nachdem das erste QTS 5.0 rauskam, kam das zweite. Die Diskussion zu beiden hat mich nicht dazu gebracht, den Umstieg zu wagen – ein paar Tage danach waren beide Updates zurückgezogen. Ende letzter Woche gab es dann wieder eine neue Buildnummer für QTS 5. Aber ich werde wohl auch hier noch etwas beobachten. Im Moment hat die QNAP-Firmware was von Betatest.

  3. Szwzz801 sagt:

    ISCI IPv6 kann keine Verbindung mehr aufbauen. Bei v4 muss man die Datastores jeweils manuel über esxi mounten. Und sonst geht das Enterprise immer mehr Richtung Home User, mit tausend Funktionen und Apps.

  4. Alex sagt:

    Surveilance lässt sich nicht mehr öffnen!

    Die App ist auf der Qnap Oberfläche vorhanden, klickt man sie an, passiert aber nichts.
    Was ist da los, was wird da gespielt? Wann ist mit Reparatur zu rechnen?

    VG
    Alex

  5. Ronald sagt:

    Habe in den letzten Tagen des Jahres 2021 vier NAS-Stationen von QNAP über 3 Standorte mit dem neuen Firmwareupdate bestückt.
    Bei der 1. NAS – nach Update keinerlei Zugriffe mehr, auch Qfinder Pro hat diese nicht mehr gesehen. Nur ein Reset hinten an der NAS und dem dann wieder neuem Einstellen einiger Grundkonfigurationen hat die NAS wieder zum Leben erweckt.
    Nun konnte ich mich heute an KEINER NAS-Station mehr anmelden.
    Drei NAS-Stationen ließen sich über den Schalten vorn nicht herunterfahren, erst ein Festhalten von etwa 6 Sekunden hat ein abruptes Ausschalten bewirkt.
    Wieder eingeschalten und bis jetzt laufen die Systeme.
    Die vierte kann ich erst morgen versuchen wieder zum Leben zu erwecken, wenn ich dort vor Ort bin.
    Das Update auf 5.0.0.1891 hat bei mir sehr viele Probleme verursacht und die NAS-Stationen laufen seit dem alle 4 nicht mehr so rund.

    Wann soll es ein neues Update geben?

    Beste Grüße an Alle hier!
    Ronald

  6. Edgar sagt:

    Bekomme nach dem Update (2 Qnap NAS) nur noch eine eingeschränkte Oberfläche.
    Einstellungen und Appstore nicht mehr vorhanden. Kapersky warnt vor verbinden.
    Zugriff auf die Verzeichnisse ist aber ungehindert möglich

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.