QNAP Update QTS 5.0.0.1932 build 20220129 schließt SAMBA-Schwachstelle CVE-2021-44142

Publiziert am 11. Februar 2022 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]Der taiwanesische Hersteller QNAP hat Firmware-Updates für seine NAS-Systeme bereitgestellt, die die SMB Root-Lücke (CVE-2021-44142) in SAMBA beseitigen sollen. Hier einige Hinweise zum Update von QTS 5.0.0, zum Schließen der Schwachstelle, die vom Hersteller QNAP in einem Sicherheitshinweis von Ende Januar 2022 veröffentlicht wurden. QNAP warnt zudem vor der Schwachstelle CVE-2022-0336 und empfiehlt SMBv1 zu deaktivieren.

Anzeige

Die Schwachstelle CVE-2021-44142

Ich hatte im Blog-Beitrag Schwachstelle CVE-2022-44142 in Samba darauf hingewiesen, dass alle Versionen von Samba vor 4.13.17 anfällig für eine Heap-Read-Write-Schwachstelle CVE-2022-44142 sind. Die Sicherheitslücke erlaubt Remote-Angreifern, beliebigen Code als root auf betroffenen Samba Installationen, die das VFS-Modul vfs_fruit verwenden, auszuführen.

QNAP fixt Schwachstelle

Blog-Leser Stefan K. hat mich die Tage per Mail kontaktiert (danke dafür) und darauf hingewiesen, dass es mal wieder Updates von QNAP gäbe. Es wurde die SMB Root-Lücke CVE-2021-44142 geschlossen. QNAP hat diese Release Notes dazu und zum Firmware-Update QTS 5.0.0.1932 build 20220129 veröffentlicht. Diese Firmware weist folgenden Sicherheits-Fix auf.

Fixed SMB CVE-2021-44142 and some security issues.

Zudem hat QNAP eine Reihe an Fehler in der Firmware QTS 5.0.0.1932 build 20220129 beseitigt. Laut Release Note wurden folgende Fehler behoben.

  • Network & Virtual Switch would highlight incorrect Ethernet ports on the device drawing after users installed network expansion cards on the TDS-16489U.
  • Users could not enable Advanced Network Driver after migrating disks from one NAS to another NAS.
  • Resource Monitor would not display swap memory usage for SSDs after a system restart.
  • Users could not create storage pools or volumes with the M.2 SSDs installed on the QM2 expansion card.
  • Users could not cancel or delete video transcoding tasks in File Station.
  • Storage & Snapshots would not rebuild a RAID 1 group after users replaced a failed disk if the other disk was in the "warning" state.
  • When users replaced a disk in a legacy volume to rebuild the volume, Storage & Snapshots would display the volume status as "Unmounted (Rebuilding)".
  • The "@Recently-Snapshot" folder would contain more snapshots than Snapshot Manager. (Normally, they should contain the same number of snapshots.)
  • Users could not connect to iSCSI targets via static IPv6 addresses after updating QTS to 5.0.0.1828.
  • Users could not stop a RAID scrubbing task in the "Background Tasks" on the Desktop.
  • Desktop icon names would be truncated in certain languages.
  • After users deleted files via FTP, QTS would not move the deleted files to the Recycle Bin.
  • After enabling Folder Aggregation, users could not copy files from macOS to the portal folder. (Note: Folder Aggregation combines shared folders from different devices on the same network into a portal folder.)

Die Release Notes weisen aber eine Reihe bekannter Probleme auf.

QNAP warnt vor Schwachstelle CVE-2022-0336 u. CVE-2021-44142

In einem Sicherheitshinweis vom 10. Februar 2022 warnt QNAP, dass mehrere Schwachstellen in Samba gemeldet wurden, die QNAP NAS betreffen. Wenn diese Schwachstellen ausgenutzt werden, können Angreifer auf sensible Informationen zugreifen, beliebige Befehle ausführen und sich als bestehende Dienste ausgeben:

  • CVE-2021-44141: Information leak via symlinks of existance of files or directories outside of the exported share
  • CVE-2021-44142: Out-of-bounds heap read/write vulnerability in VFS module vfs_fruit allows code execution
  • CVE-2022-0336: Samba AD users with permission to write to an account can impersonate arbitrary services

QNAP untersucht die Sicherheitslücken und will baldmöglich Sicherheitsupdates veröffentlichen sowie weitere Informationen zur Verfügung stellen. Derweil gibt der Hersteller im Sicherheitshinweis die Empfehlung, SMBv1 zu deaktivieren. Details lassen sich in diesem Sicherheitshinweis vom 10. Februar 2022 nachlesen.

Ähnliche Artikel:
QNAP probt Zwangsupdate nach 3.600 DeadBolt-Ransomware-Infektionen
QNAP-Laufwerke im Januar 2022 Ziel von Ransomware-Angriffen
QNAP Firmware-Update Version QTS 5.0.0.1891 build 20211221 und log4j-Schwachstelle
Ransomware eCh0raix greift QNAP-Geräte an (12.2021)
QNAP veröffentlicht NAS-Update und deaktiviert eine App
QNAP schließt RCE-Schwachstelle in QTS NAS-Betriebssystem
QNAP: DeadBolt Angriffe über eine im Dezember 2021 gepatchte Schwachstelle

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Geräte, Sicherheit, Update abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.