Neue Firmware 4.1.1 b1101 Arm und X86 gesichtet.

TheBraini · 7. November 2014

Hi @all,

hab gerade bei QNAP Deutschland neue Firmware Versionen für Arm und X86 entdeckt.

Version 4.1.1 b1101

z.B. für:

TS-419PII
TS-251
TS-670

Beispiel Log.

Zitat

2014-11-05
4.1.1 build 1101
QTS4.1.1 Build 1101

[Improvement]
- Enhanced the stability of firmware update.
- Enhanced the connection stability of LDAP.

[Fixed Issues]
- Fixed incorrect time zone information for Russia.
- Fixed a security issue of potential data breach (POODLE) by disabling SSL.
- Fixed an issue which causes failure of resizing volume with more than 16TB data*.
(* Applied Models: TS-x51, TS-x53, TS-x69, TS-x70, TS-x79, and TS-x80)

[Note]
- If you have a Qfix, firmware or app that needs to be updated, we recommend installing them one by one and rebooting your system after each installation (unless instructed otherwise.)

- If you have attempted to upgrade to QTS 4.1.0 Build 0504 and above but encountered issues that resulted in a failed upgrade, please install the Qfix patch by following the instructions below:

[Qfix]
- The Qfix patch can be downloaded from:
http://download.qnap.com/Storage/Qfix/Qfix_4.0.7.1_all.zip
- Applicable Turbo NAS firmware versions: 3.8.3 ~ 4.1.0 Build 0421
- First install the Qfix patch manually. (Go to “QTS > Control Panel > System Settings > Firmware Update > Firmware Update” to apply the Qfix.)
- After the Qfix installation, DO NOT restart the Turbo NAS, and proceed to update the firmware directly either via online live update or manual update. (If you are still having issues with updating firmware, please contact QNAP Technical Support at http://helpdesk.qnap.com/ )

Alles anzeigen

Viel Spaß damit

Gruß

Micha

GreyAngel · 8. November 2014

Alter Verwalter.....

- Fixed a security issue of potential data breach (POODLE) by disabling SSL.

Hier wird also SSL schlichtweg abgeschaltet, statt die Sicherheitslücke zu beheben...

OK - wenn ich also an meinem Auto ein fehlerhaftes Türschloß habe, baue ich einfach die ganze Tür aus und fahre Buggy (offen).

LG

Eraser-EMC2- · 8. November 2014

Vorallem es als "Fixed" zu definieren kommt einem April-Scherz gleich.
Solange man das NAS nicht zum Internet zugänglich gemacht hat, muß man nichts zu befürchten,
aber wenn jemand das Update installiert und danach kein Zugriff auf NAS über das Internet bekommt,
fängt die Fehlersuche an, da wahrscheinlich wenige die zusätzlichen Informationen zur Firmware durchlesen.

TheBraini · 8. November 2014

*ironie an* ist ja noch gut, sie könnten doch auch zur generellen Vermeidung von Lücken das Einschalten der Nas verhindern *ironie aus*

Einerseits verstehe ich die aktuelle Lösung, da QNAP so erstmal das Ausnutzen der Lücke verhindert, bis Sie letztendlich nen echten Fix haben, wobei da zu beachten ist, dass nicht jeder, jeden Tag auf der QNAP Site nach neuen Firmware Versionen nachprüft ob eine neuere Firmware Version vorhanden ist. Gehe ich von mir aus, so laufen meine Nas´en vor sich hin und ich schaue auch nicht immer ob es was neues gibt und gestern bin auch nur durch Zufall darauf gestoßen dass es eine neuere gibt.

Andererseits wäre es, zumindest aus meiner Sicht, sinnvoller gleich eine wirklich gefixte Version zu verteilen.

Gruß

Micha

Eraser-EMC2- · 8. November 2014

Zitat von "TheBraini"

dass nicht jeder, jeden Tag auf der QNAP Site nach neuen Firmware Versionen nachprüft ob eine neuere Firmware Version vorhanden ist

Dazu könnte QNAP, wenn man die automatische Benachrichtung bei Fehlern aktiviert hat,
auch das Prüfen auf eine neue Firmware mit sicherheitsrelevanten Bugfixes hinzufügen.
So wäre man dann immer auf den aktuellen Stand.

TheBraini · 8. November 2014

1+ :thumb:

dr_mike · 8. November 2014

Nicht gleich wettern ohne genau zu wissen, was QNAP tatsächlich gemacht hat. Sicherlich ist die Beschreibung nicht ganz glücklich gewählt aber sie meint genau das, was empfohlen wird. ---> http://www.heise.de/security/m…-Angriffe-ab-2424327.html
Richtiger wäre der Beschreibungstext gewesen, wenn da gestanden hätte

Zitat

- Fixed a security issue of potential data breach (POODLE) by disabling SSLv3.

Es wurde in dem Fix nur das veraltete SSLv3 Protokoll diabled. Somit kann die von Poodle genutzte Sicherheitslücke durch erzwungenes Fallback auf SSLv3 nicht mehr ausgenutzt werden.

SSL ist in der neuen FW-Version nach wie vor aktiv.

apache-ssl.conf (alt):

Code

.... SSLEngine onSSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!SSLv2:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUMSSLCertificateFile "/etc/stunnel/stunnel.pem"....

apache-ssl.conf (neu):

Code

....
SSLEngine on
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!SSLv2:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
SSLProtocol All -SSLv2 -SSLv3
SSLCertificateFile "/etc/stunnel/stunnel.pem"
....

GreyAngel · 8. November 2014

Zitat von "dr_mike"

Richtiger wäre der Beschreibungstext gewesen, wenn da gestanden hätte

Das, werter Herr Kollege, muss man als Anwender nicht wissen und auch nicht erst herausfinden.
Wenn QNAP unfähig ist, korrekte Aussagen zu treffen, muss man sich nicht über's Wettern wundern.

LG

sleven · 8. November 2014

Habe von der letzten auf die aktuelle b1101 aktualisiert und kann keine Probleme feststellen.
Läuft bisher 1a :thumb:

SaschaBr · 9. November 2014

Auch ich habe die Firmware gestern Abend zufällig entdeckt, und da ich sonst nichts zu tun hatte, habe ich meine NAS auch gleich aktualisiert. Als ich das mit dem Fix las war MIR sofort klar, dass die den Fallback auf SSLv3 meinten.
Meine NAS läuft so wie es sein soll.

networker83 · 9. November 2014

Zitat von "dr_mike"

ist in der neuen FW-Version nach wie vor aktiv.

apache-ssl.conf (alt):

Code

.... SSLEngine onSSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!SSLv2:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUMSSLCertificateFile "/etc/stunnel/stunnel.pem"....

apache-ssl.conf (neu):

Code

....
SSLEngine on
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!SSLv2:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
SSLProtocol All -SSLv2 -SSLv3
SSLCertificateFile "/etc/stunnel/stunnel.pem"
....

dr_mike:
Ist es möglich, das SSLv3 auch in älteren Firmware-Versionen (4.0.7 oder 4.1.1 Build 1003) auszuschalten? Sollte doch gehen, wenn ich die apache-ssl.conf mit WinSCP runter lade, editiere (mit Notepad++) und anschließend wieder hoch schiebe. Wo liegt die denn drin? Unter /etc/ oder wo anders?

MikeU · 11. November 2014

Zitat von "GreyAngel"

Wenn QNAP unfähig ist, korrekte Aussagen zu treffen, muss man sich nicht über's Wettern wundern.

Noch einen zum Thema "korrekte Aussage":

Ich habe bei einem neu aufgesetzten 469 beim Einwählen den Hinweis auf die 1101 bekommen.
Oder "Versionshinweis" steht aber noch die 1003...

TheRooster2000 · 11. November 2014

Die wievielte 4.1.1 ist das inzwischen eigentlich!? Ich habe aufgehört zu zählen... :roll: :roll: :roll:

Neue Firmware 4.1.1 b1101 Arm und X86 gesichtet.

QTS 5.2.0.2744 Build 20240424 Public Beta

Multiple Vulnerabilities in Media Streaming Add-on

QuTS hero h5.2.0.2737 Build 20240417 Public Beta

QTS 5.2.0.2737 Build 20240417 Public Beta

QTS 5.2.0.2737 build 20240417 Public Beta released

QTS 5.1.6.2722 build 20240402 released

QTS 5.1.5.2679 build 20240219 released

qemu-system-x86 CPU last sehr hoch

QuTS hero h5.2.0.2737 build 20240417 Public Beta released

Screenshots erstellen und im Forum einbinden (Windows)

(Betriebs)- System vs. Systemvolume - Hinweise zum Verständnis

QuDedup: Backup Job neu verlinken - Ein Ritt ins Verderben

[QUICK HOW-TO] Apps manuell auf ein anderes Volume verschieben

[QUICK HOW TO] QNAP Disks unter Windows mit UFS Explorer auslesen

Kodi-Headless Server als Docker-Container

Hardware Praxis – „Hör mal wer da surrt“: Ein Erfahrungsbericht aus dem IT-Alltag

Hardware Praxis – Tipps zum Einbau einer neuen Festplatte: Ergänzung

Foren Update im Juli / August geplant

IT-Geschichten – Die verrückte Tastatur