Command Injection Vulnerability in QTS and QuTS hero - QSA-20-20

tiermutter · 23. Dezember 2020

Heute früh gab es zwar entsprechende News zu QES, aber diese CVE die auch QTS betrifft war nicht dabei...

Zitat von QNAP Security Advisory

Release date: December 23, 2020

Security ID: QSA-20-20

Severity: High

CVE identifier: CVE-2020-25847

Affected products: Certain QNAP NAS

Summary

A command injection vulnerability has been reported to affect QTS and QuTS hero.

If exploited, this vulnerability allows attackers to execute arbitrary commands in a compromised application.

We have already fixed this vulnerability in the following versions:

QTS 4.5.1.1495 build 20201123 (and later)

QuTS hero h4.5.1.1491 build 20201119 (and later)

This issue does not affect QTS 4.3.x or QTS 4.2.x.

Recommendation

To secure your device, we strongly recommend updating your system to the latest version to benefit from vulnerability fixes. You can check the product support status to see the latest updates available to your NAS model.

Installing the QTS or QuTS hero Update

Log on to QTS or QuTS hero as administrator.

Go to Control Panel > System > Firmware Update.

Under Live Update, click Check for Update.

QTS or QuTS hero downloads and installs the latest available update.

Tip: You can also download the update from the QNAP website. Go to Support Download Center and then perform a manual update for your specific device.

Acknowledgements: CFF of Topsec Alpha Team

Revision History: V1.0 (December 23, 2020) - Resolved and Published

Alles anzeigen

Ach und hier nochmal die News von Heise:

https://www.heise.de/news/Qnap…news.atom.beitrag.beitrag

eol91 · 23. Dezember 2020

Hm, QTS 4.5.1.149x, 4.2.x und 4.3.x - und QTS 4.4.x ist nicht erwähnt. Soll ich nun von 4.4.3.1439 auf die bisher nicht eben ruhmvolle Version 4.5.1.1495 aktualisieren oder wegen deren Fehlern besser nicht?

Mein NAS ist weder direkt noch per VPN von extern erreichbar, was seine Anfälligkeit radikal reduzieren sollte. Oder irre ich hier und wenn ja, warum?

MfG

Crazyhorse · 23. Dezember 2020

Na die neuste 4.5.1.1495 läuft soweit auch bei mir stabil und alles funktioniert wieder.

Das war bei den Versionen davor nicht der Fall und ich bin jedes mal wieder auf 4.4.3 runter.

Ist für mich aber die erste 4.5.1er die es überhaupt in den Release hätte schaffen sollen, alles davor war eher beta.

Wenn im LAN nur gute Geräte sind, kann man das ggf. noch ein wenig auf schieben.

Aber es reicht ja wenn du die falsche Mail bekommst, auf den falschen Link klickst oder die böse manipulierte Werbeanzeige gerade bei dir aufgeht und los legt.

Denn auch dann wird intern eine Wurmfähige Lücke zum Problem.

Matselm · 23. Dezember 2020

Do you need FW-Update or not?

Yes.

What yes?

Yes Sir

Bei Werbung / Deutsch erwarte ich auch Sicherheitsmeldungen / Deutsch, schließlich ist das Amtssprache in einem wichtigen Markt.

Command Injection Vulnerability in QTS and QuTS hero - QSA-20-20

Summary

Recommendation

Vulnerability in Download Station

Vulnerability in QuLog Center

Vulnerability in Helpdesk

Vulnerability in curl

Antivirus - 'Suche gestoppt'

Datenträgerverschlüsselung sicher?

Kein Zugriff mehr auf TS-259 Pro+

SambaCry on QNAP NAS

FRAGE: Malware Remover läuft seit Stunden bei 70%. Ist das normal?

Tschüss QTS --- Ich werde künftig die Firmware von QNAP verweigern

(Betriebs)- System vs. Systemvolume - Hinweise zum Verständnis

Backup vom Smartphone (Android) mit FolderSync

QuDedup: Backup Job neu verlinken - Ein Ritt ins Verderben

Qnap & Syno – USV im Master-Slave-Mode

Kodi-Headless Server als Docker-Container

Hardware Praxis – „Hör mal wer da surrt“: Ein Erfahrungsbericht aus dem IT-Alltag

Hardware Praxis – Tipps zum Einbau einer neuen Festplatte: Ergänzung

Foren Update im Juli / August geplant

IT-Geschichten – Die verrückte Tastatur