Info vom Heise-Ticker: QNAP: Kritische Schwachstellen erlauben Übernahme von NAS-Netzwerkspeicher
Ungepatchte kritische Lücken
- Rainer Juhser
- Unerledigt
-
hm..
neuste Version für TS-231 ist von 2021.04.01 QTS 4.3.6.1620 build 20210322.
-
Du solltest diese Info im Titel etwas genauer benennen und vor allem die FW dazu schreiben.
Qnatsch :
Ist das in der Version auch fixed? (nicht nachgeschaut)
Btw:
War die Autorin (Silke H.) nicht diejenige, die sich mal "selbst hacken" musste, nachdem sie ihr PW für den verschlüsselten Rechner oder Datenträger vergessen hatte?
-
Betroffen ist laut Meldung die Ende September 2020 erschienene aktuelle Firmware-Version 4.3.6.1446 von QNAP TS-231. Wenn ich mich nicht ganz irre, geht der Angriff von außen ja nur, wenn ich einen Fernzugriff auf mein NAS erlaubt habe, oder nicht?
Bei normalerweise deaktivierten Fernzugriff und Blockierung des Internetzugriffs beim NAS über den Router sowie Gästenetzwerk darf mich diese Lücke dann erstmal kalt lassen, oder?
-
Wenn du keinen bösen Client im LAN hast, ist das in dem Fall erstmal nicht kritisch.
Wurmfähige Lücke sollten aber such bei internen Systemen nach Möglichkeit geschlossen werden.
Wenn das nicht geht und man die Möglichkeit hat, in eine DMZ um die Angriffspunkte über ACLs zu reduzieren.
-
Sowohl in dem Posting hier als auch in dem Heise-Artikel fehlt mir die Info, dass die Lücken im aktuellen QTS 4.5 sehr wohl gepatcht sind.
Es geht "nur" (schlimm genug) um Modelle, die auf QTS Version 4.3.6 weiterlaufen müssen, weil sie keine neuere mehr bekommen.
Unter diesen Umständen pauschal von "ungepatchten Lücken" zu schreiben, grenzt für mich an Irreführung.
-
Es geht "nur" (schlimm genug) um Modelle, die auf QTS Version 4.3.6 weiterlaufen müssen,
So wie ich es gelesen habe geht es nur um TS-x31.
-
Jetzt ist auch bei heise die Info über den Patch angekommen: heise-Artikel.
So wie ich es gelesen habe geht es nur um TS-x31
In dem neuen Artikel ist auch von anderen älteren Geräten die Rede.
