Qnap: Teils hochriskante Lücken in QTS und QuTS hero geschlossen
Aktualisierte Versionen der QTS- und QuTS-hero-Firmware von Qnap-Geräten stopfen Sicherheitslecks, die zum Teil als hohes Risiko eingestuft wurden. Angreifer können sie etwa zum Ausführen beliebiger Befehle oder zu Denial-of-Service-Attacken missbrauchen.
Insgesamt elf Schwachstellen hat Qnap am Wochenende gemeldet, die die Firmware-Updates ausbessern. Am gravierendsten fällt eine Befehlsschmuggel-Lücke aus. Sofern Angreifer aus der Ferne Zugriff auf ein Konto erhalten, können sie beliebige Befehle ausführen (CVE-2025-30264, CVSS 7.7, Risiko „hoch„). Bösartige Akteure aus dem Netz können zudem nach Anmeldung eine weitere Lücke ausnutzen, um außerhalb vorgesehener Speicherbereiche zu schreiben und so Speicher verändern oder stören (CVE-2025-30273, CVSS 7.1, Risiko „hoch„).
Die Aktualisierungen bessern noch weitere Lücken aus, die jedoch lediglich als mittlerer oder niedriger Bedrohungsgrad gelten. Eine NULL-Pointer-Dereference kann einen Denial-of-Service (DoS) auslösen (CVE-2025-29882), ein Pufferüberlauf zu Modifikation von Speicherbereichen (CVE-2025-30265), weitere NULL-Pointer-Dereferences zu DoS führen (CVE-2025-30267, CVE-2025-30268, CVE-2025-30272, CVE-2025-30274) oder eine Path-Traversal-Schwachstelle Lesezugriff auf nicht erwartete Dateien oder Systemdaten ermöglichen (CVE-2025-30270, CVE-2025-30271, CVE-2025-33032).
Updates bereits verfügbar
Betroffen sind davon QTS 5.2.x sowie QuTS hero h5.2.x. Die gute Nachricht ist, dass Firmware-Updates bereits seit Monaten verfügbar sind, welche die nun gemeldeten Sicherheitslücken schließen: QTS 5.2.5.3145 Build 20250526 sowie QuTS hero h5.2.5.3138 Build 20250519 und jeweils neuere Fassungen korrigieren die sicherheitsrelevanten Fehler.
Admins sollten auf ihrem Qnap-Gerät nachschauen, ob die Aktualisierung bereits installiert wurde. Nach Anmeldung als Administrator an der Benutzeroberfläche gelingt das über „Control Panel“ – „System“ – „Firmware Update“. Unter „Live Update“ führt der Klick auf „Check for Update“ zum Herunterladen und Installieren der jüngsten Firmware-Version.
Mitte vergangener Woche hatte Qnap bereits hochriskante Sicherheitslücken in File Station 5 mit Software-Updates geschlossen.
Fraktal, generiert mit MandelBrowser von Tomasz Śmigielski
Liebe Leser:innen,
zu Beginn dieser Woche hab ich zufällig ein kurzes Video über Bambus angeschaut. Wusstet ihr, dass einige Arten pro Tag fast einen Meter in die Höhe schießen? Man kann ihnen buchstäblich beim Wachsen zusehen.
Ich bin dann in ein Wurmloch gefallen und hab erfahren, dass Bambus es bei der Zugkraft mit Stahl aufnehmen kann. Dass er weit mehr Sauerstoff freisetzt als Bäume. Und natürlich essen ihn süße Pandabären.
Ein weit weniger erbauliches Bild zeigt die zurückliegende (netz-)politische Woche. Vorratsdatenspeicherung, Daten-Rasterfahndung, biometrische Live-Videoüberwachung – die ungeheuerlichsten Überwachungspläne sprießen gerade so aus dem Boden. Gleichzeitig will die Bundesregierung die Zivilgesellschaft unter Extremismus-Generalverdacht stellen, um ihr die Mittel und Rechte zu beschneiden. Und daneben fällt ihr nichts Besseres ein, als den Druck auf marginalisierte Menschen einmal mehr zu erhöhen – mit weiteren Streichungen und noch härteren Sanktionen.
Mir war klar, dass die Bäume mit Schwarz-Rot nicht in den Himmel wachsen werden. Dass die Regierung aber so rasch und beherzt Richtung Autoritarismus und Überwachungsstaat marschiert – wie auch Lena Rohrbach und Philipp Krüger von Amnesty International mit Blick aufs geplante Bundespolizeigesetz konstatieren –, habe ich dann doch nicht erwartet.
Zurück zum Bambus. Auch wir sind diese Woche ordentlich gewachsen. Drei neue Menschen gehören seit dem 1. September unserem Team an. Timur ist unser erster Volontär und macht nebenher noch Beiträge für KiKA. Bahn-Nerd Ben ist für die nächsten 12 Monate unser Bundesfreiwilliger. Und Fio unterstützt uns ab sofort bei der Social-Media-Arbeit. Wir freuen uns auf die Zusammenarbeit!
Verabschieden mussten wir uns von Lilly, die uns ein Jahr lang tatkräftig als Bundesfreiwillige unterstützt hat. Wie sie auf ihre Zeit bei uns zurückblickt, erzählt sie in der aktuellen Folge unseres Podcasts Off/On. Hört gerne rein. Und vielen Dank für alles, Lilly!
Habt ein schönes Wochenende
Daniel
Wir sind ein spendenfinanziertes Medium
Unterstütze auch Du unsere Arbeit mit einer Spende.
Seit Monaten protestieren Microsoft-Mitarbeitende in den USA dagegen, dass ihr Unternehmen Geschäftsbeziehungen zum israelischen Militär und der israelischen Regierung unterhält. Microsoft hat einige demonstrierende Angestellte entlassen. Zugleich will das Unternehmen prüfen, ob israelische Streitkräfte die Azure-Plattform zur Überwachung von Palästinenser:innen nutzen.
Lesen Sie diesen Artikel: Microsoft entlässt Mitarbeitende nach Protesten weiterlesen
Wie unsere jüngsten Team-Mitglieder auf unsere Arbeit und Soziale Medien blicken
Ingo, Karoline und Lilly bei der Arbeit
Karoline ist seit zwei Monaten Praktikantin bei uns. Lilly war seit September 2024 unsere Bundesfreiwillige im Rahmen eines „Freiwilligenjahres Beteiligung“. In der neuen Ausgabe Off The Record erzählen die beiden, was sie bei uns erlebt haben. Welche Tätigkeiten haben sie übernommen? Was haben sie gelernt? Und wie ist das so als junger Mensch in einem älteren Team?
Außerdem gibt’s eine kleine Meme-Nachhilfestunde. Wir sprechen nämlich auch über ihre Erfahrungen mit unserer Community und über die Rolle Sozialer Medien. Lilly hat im letzten Jahr unseren Instagram-Account betreut, Karoline hat sich im Studium intensiv mit Social Media beschäftigt. Was denken die beiden: Sollten wir den Insta-Account unserer Redaktion dichtmachen?
In dieser Folge: Ingo Dachwitz, Karoline Tanck und Lilly Pursch. Produktion: Serafin Dinges. Titelmusik: Trummerschlunk.
Hier ist die MP3 zum Download. Wie gewohnt gibt es den Podcast auch im offenen ogg-Format. Ein maschinell erstelltes Transkript gibt es im txt-Format.
Unseren Podcast könnt ihr auf vielen Wegen hören. Der einfachste: in dem Player hier auf der Seite auf Play drücken. Ihr findet uns aber ebenso bei Apple Podcasts, Spotify und Deezer oder mit dem Podcatcher eures Vertrauens, die URL lautet dann netzpolitik.org/podcast.
Wir freuen uns über Kritik, Lob, Ideen und Fragen entweder hier in den Kommentaren oder per E-Mail an podcast@netzpolitik.org.
Links und Infos
Blattkritik
Karolines Text über verschwundene Porno-Games
Ingos Text über den Wasserverbrauch von Rechenzentren: Immer noch nicht erschienen…
Familienministerin will Demokratieprojekte mit Verfassungsschutz durchleuchten
Während die AfD in aktuellen Umfragen neue Höchstwerteverzeichnet, schießt sich die Bundesregierung ausgerechnet auf jenen Teil der Zivilgesellschaft ein, der für demokratische Werte und gegen den Rechtsruck kämpft. In einem Brief an die „Mitglieder der CDU/CSU-Fraktion im Deutschen Bundestag“ versichert Bundesfamilienministerin Karin Prien (CDU), dass sich im Programm „Demokratie leben“ nun „Grundlegendes ändern“ werde. Unter anderem sollen NGOs einer „breit angelegten Verfassungsschutzprüfung“ unterzogen werden. Den Brief veröffentlichen wir als PDF-Dokument.
Die Familienministerin stellt sich damit in ein unselige Tradition. Nicht nur die rechtsextreme AfD versucht seit Jahren, die demokratische Zivilgesellschaft unter Generalverdacht zu stellen. Auch Hetzportale wie Nius und rechte Medien wie Cicero, NZZ, Welt oder Focus kolportieren seit Langem, dass Deutschland von linken Nichtregierungsorganisationen quasi unterwandert sei und der Staat diese auch noch alimentiere.
Mit Kulturstaatsminister Wolfram Weimer hat diese Erzählung inzwischen einen Vertreter in der Regierung gefunden. Weimer treibt die Debatte kulturkämpferisch voran und hat bereits erste Maßnahmen gegen vermeintlich linke Medienprojekte ergriffen.
Attacken auf demokratische Zivilgesellschaft
Die Debatte um die Zivilgesellschaft geht inzwischen so weit, dass sich jüngst auch die als liberal geltende Wochenzeitung „Die Zeit“ zu der reißerischen Überschrift „Der Staat päppelt die Linken“ hinreißen ließ – nur um im Artikel Rechtsaußen-Rechtsanwalt Joachim „Natürlich bin ich ein Arschloch“ Steinhöfel zu Wort kommen zu lassen und im Verlauf des Textes die These der Überschrift halbwegs zu revidieren.
Auch die Union selbst hatte bereits zu Jahresbeginn ins gleiche Horn gestoßen. Ende Januar hatten CDU und CSU einen Antrag zur Verschärfung der Migrationspolitik in den Bundestag eingebracht und dabei mindestens billigend eine Mehrheit durch Stimmen der AfD in Kauf genommen. Daraufhin riefen zahlreiche zivilgesellschaftliche Organisationen zu Protesten auf.
Offenbar als Reaktion darauf reichte die Union nur wenige Wochen später eine Kleine Anfrage im Bundestag ein. In einem umfangreichen Fragenkatalog erkundigte sie sich nach unter anderem nach der staatlicher Förderung für gemeinnützige NGOs. Die Anfrage wurde innerhalb der Zivilgesellschaft als Einschüchterungsversuch verstanden. Wissenschaftler:innen und Organisationen zeigten sich zutiefst beunruhigt durch das Vorgehen der Unionsfraktion, mehr als 500.000 Menschen unterzeichneten einen Appell an die Bundesregierung.
Grundlegende Änderungen angekündigt
Die Debatte ist nun wieder erstarkt. Und nachdem das Kabinett Ende August die Gelder für das Bundesprogramm „Demokratie leben!“ bewilligt hatte, sah sich Familienministerin Karin Prien offenbar genötigt, sich für diese Entscheidung zu rechtfertigen und gleichzeitig anzukündigen, dass sich nun „Grundlegendes ändern“ werde.
In dem Brief von Prien an die CDU/CSU-Fraktion heißt es:
Wir stärken die Zusammenarbeit mit den Sicherheitsbehörden und der wissenschaftlichen Extremismusforschung und berücksichtigen deren Erkenntnisse in der Programmsteuerung besser. Wer Zuwendungen des Bundes zum Schutz unserer Demokratie erhält, muss selbst Vorbild sein! Es gibt mehr als 400 direkte Partner und mehr als 3000 Projekte als Letztempfänger der Bundesmittel. Wir werden durch klare Strukturen und Verfahren sicherstellen, dass das Ziel, unsere freiheitlich demokratische Grundordnung zu schützen, von allen angestrebt und auch erreicht wird. In einem ersten Schritt – nach wochenlanger Arbeit und mit dem Bundesministerium des Innern abgesprochen – wurde bereits eine breit angelegte Verfassungsschutzprüfung im sogenannten „Haber-Verfahren“ eingeleitet.
„Breit angelegte Verfassungsschutzprüfung“
Das Haber-Verfahren sieht vor, dass die jeweiligen Ressorts zunächst aus ihnen zugänglichen Quellen, wie etwa die jährlichen Verfassungsschutzberichte des Bundes und der Länder, jene Organisationen prüfen, die sie mit dem Programm fördern. „Soweit hiernach eine Klärung nicht möglich sein sollte, können die Ressorts ihre Anfragen zu möglichen verfassungsschutzrelevanten Erkenntnissen über Organisationen, Personen und Veranstaltungen, über deren materielle bzw. immaterielle Förderung das Ressort zu entscheiden hat, unmittelbar an das BfV und nachrichtlich an das BMI richten“, heißt es in einem Gutachten des Wissenschaftlichen Dienstes des Bundestages.
Wir sind ein spendenfinanziertes Medium
Unterstütze auch Du unsere Arbeit mit einer Spende.
Der Wunsch aus der Union, Initiativen der demokratischen Zivilgesellschaft gegen Rechtsextremismus unter Generalverdacht zu stellen, ist keineswegs neu. Im Jahr 2011 führte die damalige CDU-Familienministerin Kristina Schröder die sogenannte „Extremismusklausel“ bei Demokratieförderungsprogrammen ein. Diese Klausel sah vor, dass sich Initiativen zur freiheitlich-demokratischen Grundordnung verpflichten mussten. Diese Verpflichtung erschwerte unter anderem eine zivilgesellschaftliche Bündnisarbeit etwa bei Protesten gegen Rechtsextremismus, weil geförderte Organisationen für ihre Bündnispartner in Mithaftung genommen wurden. Anfang 2014 wurde die Klausel wieder abgeschafft.
In Vergangenheit hunderte NGOs vom Verfassungsschutz überprüft
Die Durchleuchtung aber ging weiter. Zwischen den Jahren 2015 und 2018 wurden zahlreiche zivilgesellschaftliche Projekte vom Verfassungsschutz geprüft. Bei insgesamt 51 Projekten leitete das Familienministerium damals Daten an den Inlandsgeheimdienst weiter, dem damals noch Hans-Georg Maaßen als Präsident vorstand. Maaßen wird heute selbst vom Bundesamt für Verfassungsschutz als Rechtsextremer geführt und beobachtet.
Wir haben beim Bundesfamilienministerium nachgefragt, was hinter der Ankündigung der Ministerin steckt – und ob dies „eine Änderung der bisherigen Überprüfungspraxis“ darstellt. Außerdem wollten wir wissen, wie viele Überprüfungen durch den Verfassungsschutz im laufenden Jahr sowie in den vergangenen fünf Jahren erfolgt seien.
Nach drei Tagen und mit wiederholter Fristverlängerung schickte uns eine Sprecherin des Ministeriums folgende Antwort, die keine unserer Fragen beantwortet:
Über das allgemein Zugängliche hinaus können keine näheren Informationen zum Prüfverfahren mitgeteilt werden. Die Wirkung des Verfahrens könnte ansonsten beeinträchtigt werden. Im Übrigen wurde und wird keine statistische Erhebung im BMBFSFJ zu Erkenntnissen der Verfassungsschutzbehörden geführt.
