Das kann doch wohl nicht war sein! - Hard-Coded Credentials Vulnerability in HBS 3

    Das würde jedenfalls plausibel darlegen, warum der RTRR Port direkt bei Dienststart schon belegt ist.


    Wobei das fast jeder Hersteller schon mal verkackt hat.

    Nur doof wenn man das per Portforwarding/NAT auf dem WAN erreichbar gemacht hatte.


    Keine Sorge ist dann kein Problem mehr, denn der neue Admin hat sich gleich drum gekümmert...

    Was hat das mit QuTScloud zu tun?

    Aber ich bin da bei Dir. Eine freie virtualisierte Instanz von QTS wird es vermutlich nicht geben.

    Gibbet nur bei Syno. :)

    Scheint derzeit echt prächtig zu laufen bei QNAP.

    Syno hat zwar auch Leichen im Keller aber nicht so gravierend.

    Fraglich ob ich mir jemals wieder QNAP zulegen werde.

    Abgeshen von der Hardware hat jetzt QTS irgendwie nichts was mich vom Hocker reißt.

    Terminal? SSH?

    Und den Nano kannst Dirüber extra Paketquelle nachinstallieren.

    Aber wozu? Überwiegend verbindest Dich per SSH und machst den Kram mit vi oder WinsCP.

    Muss man das HBS Update auch einspielen wenn die Qnap von außen als nicht erreichbar konfiguriert worden ist?


    Drücke mich gerade etwas vor dem Update da HBS 15.1.0225 so störungsfrei bei uns läuft.


    thnx

    Wenn das Gerät nicht extern erreichbar ist, kann die Lücke zumindest nicht von anderen aus dem Internet ausgenutzt werden, so wie es in der aktuellen Welle geschehen ist.

    Eine nicht geschlossene Lücke kann aber selbstverständlich aus dem eigenen Netzwerk heraus ausgenutzt werden, also von "den eigenen" Leuten oder wenn sich bereits jemand in das LAN eingeschleust hat. Es ist auch denkbar, dass eine Malware auf einem anderen System die Lücke entsprechend ausnutzen kann, auch wenn es sowas für diesen Fall wahrscheinlich nicht geben wird.

    Ich finde, Du kannst Dir in Deinem Fall etwas Zeit lassen und Erfahrungen abwarten. Ich für meinen Teil habe das Update unverzüglich installiert, auch wenn meine Geräte nicht ausm Internet erreichbar sind. Wenn etwas nicht läuft wie gewünscht ist ja immer noch ein Downgrade möglich.

    Ok, verstehe. Habe mir nur die Tage die ganzen lustigen Probleme durchgelesen die es so mit dem "neuen" HBS3 Update geben kann und da bin ich nicht wirklich scharf drauf wenn es nicht unbedingt sein muss. Von den geschilderten Problemen beim Downgrade gar nicht zu reden.


    Heißt aber auch, wenn ich Dich richtig verstehe, die Portänderung muss in unserem Fall auch nicht wirklich durchgeführt werden. Right?


    Hintergrund:

    NAS ist bei uns lediglich ein interner DateiServer auf den die Win10 Clients zugreifen. Das NAS sichert sich nachts zum einen via RTRR-Job auf sich selbst und sichert hernach den ganz Schlonz noch auf eine externe USB die täglich gewechselt wird.

    Einmal editiert, zuletzt von Nick65 ()

    Zitat von Nick65

    die Portänderung muss in unserem Fall auch nicht wirklich durchgeführt werden.

    Was genau meinst Du damit? Es gab mit der vorletzten Version Probleme mit dem RTRR Server-Port, eine Änderung des Ports hatte aber nur bis zum Neustart Abhilfe geschafft. Das ist in der aktuellsten Version behoben und in Deiner v15 bestand das Problem noch nicht. Einen anderen Zusammenhang mit dem Port habe ich in letzter Zeit nicht vernommen....

    ich hatte heute in einem aktuellen Beitrag zu diesem ganzen Thema gelesen, dass von Qnap auch angeraten wurde den StandardPort für den Adminzugang nicht auf 8080 zu belassen sondern diesen aus Sicherheitsgründen abzuändern.


    Nachtrag:


    pasted-from-clipboard.png

    Achso... ja das ist eine gängige Methode, damit man im Internet nicht sofort über die "Standardports" gefunden wird, weil man davon ausgehen kann, dass die meisten Versuche auf diesen erfolgen.

    Das macht aber allenfalls auch nur Sinn, wenn ein Dienst über das Internet erreichbar ist... und wie viel Sinn das wirklich macht, darüber kann man sich auch streiten. Ich finde das hat etwas von "Ich lehne die Haustür nur an und mache ein Schild dran, dass die Bude alarmgesichert ist". Der ein oder andere wird damit aber sicherlich vertreiben.


    PS: Ich würde das auch machen, wenn ich einen Dienst über das Internet freigebe. Das garantiert aber keine Sicherheit.

    ok. Verstehe. Dann schaue ich mir das Ganze nun mal erst eine Zeit lang von der Seitenlinie an.


    Danke Dir.