Synology und QNAP: Netatalk für Apple-Protokolle mit Sicherheitslücken

Update Frank Hüber
34 Kommentare
Synology und QNAP: Netatalk für Apple-Protokolle mit Sicherheitslücken
Bild: QNAP

Sowohl die NAS-Systeme von Synology als auch QNAP sind von Sicherheitslücken betroffen, die durch Netatalk für die Unterstützung von Apple-Netzwerkprotokollen zustande kommen. Sowohl QNAP als auch Synology haben erste Updates bereitgestellt, um die Lücken möglichst schnell zu schließen.

Ursache für die mitunter als kritisch eingestuften Sicherheitslücken ist bei beiden Herstellern der Einsatz einer veralteten Version von Netatalk, in der die Lücken noch vorhanden sind, die in der aktuellen Version bereits geschlossen sind.

Alle Versionen betroffen, viele Updates fehlen noch

Laut QNAP sind die Betriebssystemversionen QTS 5.0.x und neuer, 4.5.4 und neuer, 4.3.6 und neuer, 4.3.4 und neuer, 4.3.3 und neuer 4.2.6 und neuer sowie QuTS hero h5.0.x und neuer, QuTS hero h4.5.4 und neuer und QuTScloud c5.0.x von den Lücken betroffen. Erste Aktualisierungen stehen etwa in Form von QTS 4.5.4.2012 Build 20220419 bereit, weitere Updates sollen so schnell wie möglich für alle betroffenen Versionen erscheinen. Neben der Aktualisierung über die Web-Oberfläche des NAS können Nutzer auch im Support-Bereich von QNAP nach der aktuellsten QTS-Version suchen.

Synology listet im Security Advisory Synology-SA-22:06 Netatalk den Disk Station Manager 6.2 (DSM), DSM 7.0 und DSM 7.1 sowie die VS Firmware 2.3 und den Synology Router Manager 1.2 (SRM) auf. Nur für DSM 7.1 steht bislang in Form von 7.1-42661-1 oder neuer ein Update bereit, das Netatalk aktualisiert. Ebenso bei Synology stehen Aktualisierungen auch auf der Website zum Download zur Verfügung.

Schadcode kann ausgeführt werden

Die Sicherheitslücken führen unter anderem dazu, dass Angreifer Schadcode teils mit root-Rechten auf dem NAS ausführen können (CVE-2022-23121, CVE-2022-23122, CVE-2022-23125 und CVE-2022-0194).

AFP-Funktionen vorläufig deaktivieren

Solange kein Update für das eigene Gerät bereitsteht, das die Sicherheitslücken in Netatalk schließt, sollten die AFP-Funktionen über die Web-Oberfläches des NAS deaktiviert werden.

Update

Auch Asustor ist von den Lücken betroffen und verspricht schnellstmöglich Updates für den Asustor Data Master (ADM). Betroffen sind sowohl der ADM 3.5 als auch 4.0, ein Update gibt es bislang für keine der beiden Versionen.

Die Redaktion dankt catch 22 für den Hinweis.

MWC 2024 (26.–29. Februar 2024): ComputerBase ist vor Ort!