Game on Game RTX

Kritische Lücke in Netatalk gefährdet NAS-Geräte

Meldung von doelf, Donnerstag der 03.01.2019, 17:42:47 Uhr

In der freien Software-Suite Netatalk, welche POSIX-kompatible Betriebssysteme um Protokolle für AppleTalk erweitert, steckt eine kritische Sicherheitslücke (CVE-2018-1160), für die es bereits funktionierenden Exploit-Code gibt. Gefährdet sind insbesondere Netzwerkspeicher (NAS), die noch nicht das aktuelle Netatalk 3.1.12 verwenden.

Bei CVE-2018-1160 handelt es sich um einen unkontrollierten Schreibzugriff in dsi_opensess.c, der sich von außen ohne jegliche Authentifizierung auslösen lässt. Über diese Schwachstelle kann ein Angreifer beliebigen Code einschleusen und ausführen. Seit dem 21. Dezember 2018 gibt es beispielhaften Exploit-Code von Jacob Baines (EDB-ID 46034), welcher sich gegen Seagates NAS OS einsetzen lässt. Am selben Tag wurde auch von der Firma Tenable ein entsprechender Beispielcode (EDB-ID 46048) veröffentlicht.

Tenable/Baines hatten den kritischen Fehler am 27. Oktober 2018 entdeckt und die Details an die Netatalk-Entwickler übermittelt. Der Exploit-Code wurde daher erst einen Tag nach der Veröffentlichung des abgesicherten Netatalk 3.1.12 publiziert. Anders sieht es bei Geräten aus, auf denen Netatalk läuft. Der Hersteller Synology hat bereits reagiert und einen Großteil seiner NAS-Lösungen abgesichert:

  • Synology DiskStation Manager (DSM): 6.2.1-23824-4 oder höher
  • Synology DiskStation Manager (DSM): 6.1.7-15284-3 oder höher
  • Synology DiskStation Manager (DSM): 5.2-5967-9 oder höher
  • Synology VisualStation VS960HD: 2.3.3-1646 oder höher

Auch der Synology Router Manager (SRM) ist betroffen, hier gilt der Fehler aber nicht als kritisch - das wichtige Update trägt die Versionsnummer 1.2-7742-5 oder höher. Einzig für Synologys Cloud-Angebot SkyNAS gibt es bisher noch keine Lösung, obwohl die Sicherheitslücke dort als kritisch eingestuft wurde. Ob auch andere NAS-Hersteller betroffen sind, ist derzeit noch unklar. Gleiches gilt für den Status von Seagates NAS OS.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]