QNAP warnt Kunden vor einer kritischen ASP.NET-Schwachstelle die auch seinen NetBak PC Agent-Software für Windows betrifft. Das ist ein Windows-Dienstprogramm zum Sichern von Daten auf einem QNAP-Netzwerkspeichergerät (NAS).
Es handelt sich um die Schwachstelle CVE-2025-55315 im Core von ASP.NET, die mit dem CVSS 3.1 Score von 9.8 versehen wurde. Eine inkonsistente Interpretation von HTTP-Anfragen ("HTTP-Anfrage-/Antwort-Smuggling") in ASP.NET Core ermöglicht es einem autorisierten Angreifer, eine Sicherheitsfunktion über ein Netzwerk zu umgehen. Es handelt sich (laut Quellen) um die "schlimmste" Schwachstelle, die je in ASP.NET aufgedeckt wurde. Microsoft hat zum 14. Oktober 2025 entsprechende Patches für die noch unterstützten ASP.NET-Versionen veröffentlicht.
QNAP hat zum 24. Oktober 2025 die Warnung Potential Security Impact of ASP.NET Vulnerability on NetBak PC Agent veröffentlicht, die Kollegen von Bleeping Computer haben es hier aufgegriffen. Laut QNAP installiert der NetBak PC Agent während der Einrichtung Microsoft ASP.NET Core-Komponenten und ist davon abhängig. Daher können Windows-Ssteme, auf denen NetBak PC Agent ausgeführt wird, eine betroffene Version von ASP.NET Core enthalten, wenn das System nicht aktualisiert wurde. QNAP empfiehlt Benutzern daher dringend, sicherzustellen, dass auf ihren Windows-Systemen die neuesten Microsoft ASP.NET Core-Updates installiert sind.
MVP: 2013 – 2016
Freunde lassen Freunde kein QNAP kaufen!
Und was kauft man dann? Synology ja leider auch nicht mehr.
Ugreen ist auch noch nicht wirklich ausgereift…
Wenn die Anforderungen und Rahmenbedingungen es zulassen, kann man selber eine passende Lösung zusammenstellen. Ist am Ende vielleicht auch nicht günstiger, wenn man entsprechend geeignete Hardware kauft, jedoch ist man den Herstellerlaunen bei diesen Komplettlösungen nicht ausgesetzt.
Synology z.B. hatte doch letztens die Auswahl von Festplatten stark eingeschränkt und bestimmte Modelle zu Extremstpreisen angeboten. Sowas geht gar nicht.
Haben sie wieder zurückgenommen, man kann bei den Plus-Modellen wieder alle Modelle nutzen.
Das Problem ist nicht QNAP, sondern ASP.NET Core.
Und ASP.NET Core ist von Microsoft!
Die QNAP-Software nutzt nur ASP.NET Core.
QNAP hat die Sicherheitslücke also gar nicht verschuldet.
Da könntest du auch alle Hersteller von in Java geschriebenen Programmen
dafür verantwortlich machen, wenn es eine Sicherheitslücke in der Java-Runtime gibt. Die Java Runtime stammt auch nicht vom Hersteller der Java-Software.
Die Sicherheitslücke gibt es in ASP.NET Core 2.3, 8.0 und 9.0 und in Visual Studio 17.10, 17.12 und 17.14.
Da die Lücke aber schon mit dem .NET Patch vom 14.Oktober geschlossen wurde, sind nur ungepatchte Systeme gefährdet.
QNAP ist sicherlich nicht perfekt, aber die Supportzeiträume für die NAS-Systeme sind schon echt gut. Habe seit vielen Jahren QNAP am laufen und insgesamt recht wenig zu merkern. Dank Virtualisierung kann man kleine Anwendungen selber per VM bereitstellen und da auch sehr frei aggieren. Bei mir läuft unter Anderem pihole auf debain Trixie in einer VM. Es kommen alle 1 bis 2 Monate Sicherheitspatches und das häufig über mehr als zehn Jahre lang. Man muss die Updates halt installieren, wie heute morgen gemacht auf QTS Version 5.2.7.3297.
Will man aus dem Internet ran, dann würde ich privat immer über einen VPN wie Wireguard gehen und das NAS nicht direkt im Internet betreiben. Dafür wäre mehr Absicherung erforderlich wie Firewall, DMZ, ReverseProxy, WAF.