QNAP beseitigt wichtige Schwachstellen in Surveillance Station und Photo Station

QNAP empfiehlt den Umstieg auf die neuen, abgesicherten Versionen

 

Donnerstag, der 18. Februar 2021|Informationssicherheit, Software|

QNAP beseitigt wichtige Schwachstellen in Surveillance Station und Photo Station

QNAP empfiehlt den Umstieg auf die neuen, abgesicherten Versionen
Die Anwendungen Surveillance Station und Photo Station weisen Schwachstellen auf,
welche von Angreifern ausgenutzt werden könnten

Aus der Netzwerküberwachungslösung Surveillance Station wurde eine kritische Schwachstelle beseitigt. Auch bei Photo Station hat QNAP nachgebessert.

Aufgrund Schwachstellen in den Anwendungen Surveillance Station und Photo Station für Turbo NAS, empfiehlt QNAP den Umstieg auf die neuen, abgesicherten Versionen. Die Schwachstelle in der Netzwerküberwachungslösung Surveillance Station wurde dabei als kritisch bewertet, bei Photo Station handele es sich um eine „Medium“ Schwachstelle.

Surveillance Station Versionen vor 5.1.5.4.3 (64-Bit-OS) beziehungsweise 5.1.5.3.3 (32-Bit-OS) sind betroffen. Mit der Schwachstelle könnte ein Angriff einen stackbasierten Pufferüberlauf provozieren, der ihn dazu befähigt einen beliebigen Programmcode auszuführen (CVE-2020-2501 https://www.qnap.com/en/security-advisory/qsa-21-07, „Critical“). Jedoch ist nicht bekannt, ob dies auch remote möglich ist.

In Photo Station handelt es sich um eine Cross-Site-Scripting-Schwachstelle, die entfernten Angreifern das Injizieren schädlichen Programmcodes ermöglichen könnte (CVE-2020-2502 https://www.qnap.com/en/security-advisory/qsa-21-06, „Medium“). Dies betrifft Versionen vor Version 6.0.11.

Update Vorgang der Anwendungen

Um die Anwendungen auf den neusten Sicherheitsstand zu bringen, melden sich die Turbo NAS-Nutzer als Administrator am QTS-Betriebssystem an. Anschließend öffnen sie das App Center und nutzen die Suchfunktion, um das jeweilige Programm und somit die aktuelle Version der Anwendungen zu finden. Sofern diese Version nicht bereits auf dem System installiert ist, ist ein Button zum Update verfügbar.

Quelle: heise.de