Qfix 1.0.1 : QNAP behebt „Shellshock“-Lücke bei NAS-Systemen

, 36 Kommentare
Qfix 1.0.1: QNAP behebt „Shellshock“-Lücke bei NAS-Systemen

QNAP hat einen Patch für die am vergangenen Mittwoch bekannt gewordene Sicherheitslücke in der Unix-Shell Bash veröffentlicht, die unter anderem in GNU/Linux und Apples OS X zum Einsatz kommt. QNAPs NAS-Betriebssystem QTS basiert ebenfalls auf Linux und ist von der Shellshock genannten Sicherheitslücke direkt betroffen.

Der Qfix 1.0.1 ist für zahlreiche Turbo-NAS-Systeme mit QTS 4.1.1 verfügbar (siehe Klapptext am Ende). Für weitere Turbo-NAS-Systeme, QNAPs Netzwerk-Videorekorder der VioStor-NVR-Produktreihe sowie Mediaplayer der NMP-Familie sollen zu einem späteren Zeitpunkt Updates erscheinen.

Zwei der Shellshock-Schwachstellen (CVE-2014-6271 und CVE-2014-7169) hat QNAP bereits am Montag mit QTS 4.1.1 Build 0927 behoben. Der Qfix 1.0.1 behebt nun auch die Schwachstellen CVE-2014-6277, CVE-2014-6278, CVE-2014-7186 und CVE-2014-7187.

Der Qfix 1.0.1 steht auf der offiziellen Downloadseite von QNAP bereit.

Grundsätzlich von Shellshock betroffen sind alle Bash-Versionen zwischen 1.14 und 4.3. Sie erlauben das Ausführen von Programmcode und in Folge die Übernahme eines Systems durch den Angreifer indem Funktionen in Variablen definiert werden. In Webservern kann dies beispielsweise über CGI-Skripte erfolgen, zu deren Ausführung in vielen Fällen Bash genutzt wird. Für OS X ab Version 10.7 stellt Apple seit Montag entsprechende Updates zum Schließen der Sicherheitslücke bereit.

Liste der NAS-Systeme für die ein Update verfügbar ist, noch erscheinen wird oder nicht benötigt wird