Zur neuen CVE-2026-31431-Sicherheitslücke („copy fail“) auf QNAP NAS

Ich bin ein intensiver Container-Nutzer und habe mehrere Container über Container Station bereitgestellt. Da diese neue Schwachstelle die Sicherheit in Container-Umgebungen gefährdet, würde ich gerne wissen: Sind QUTS/QTS von dieser Sicherheitslücke betroffen?

Falls ja, plant QNAP, diese Schwachstelle in den Hauptversionen QTS 5.2/QUTS 5.2/QUTS 5.3/QUTS 6.0 Beta so schnell wie möglich zu beheben? Oder sollte ich vorsichtshalber alle Container herunterfahren, um weiteres Risiko zu vermeiden?

Das kommt auf deine Risikobereitschaft an. Nur weil eine Schwachstelle bekannt ist, heißt das nicht, dass sie auch tatsächlich auf deinem System ausgenutzt wird.

Wenn dir das Risiko Sorgen macht, würde ich alle internetzugänglichen Container vom Internet trennen.

Wenn dein NAS komplett hinter deiner Firewall steht, brauchst du dir keine Sorgen zu machen.

Hallo @Sam25,

vielen Dank, dass du dieses Thema angesprochen hast.

QNAP nimmt Informationssicherheit sehr ernst. Für CVE-2026-31431 / „Copy Fail“ hat QNAP eine offizielle Sicherheitsempfehlung veröffentlicht, die du hier findest:

https://www.qnap.com/en/security-advisory/qsa-26-16

In dieser Empfehlung findest du offizielle Informationen, darunter den betroffenen Geltungsbereich, nicht betroffene Produkte und empfohlene Sicherheitsmaßnahmen. Wir empfehlen, die Sicherheitsempfehlung als Hauptquelle heranzuziehen.

Zur allgemeinen Risikoverminderung können Nutzer:innen auch die in der Empfehlung aufgeführten Sicherheitsmaßnahmen prüfen, wie zum Beispiel das Begrenzen von Shell- oder Terminalzugängen für Nicht-Administratoren, die Nutzung ausschließlich vertrauenswürdiger Container-Images, das Deaktivieren nicht benötigter Dienste und das Vermeiden einer direkten Anbindung des NAS ans Internet.

Nochmals vielen Dank, dass du dieses Thema in der Community angesprochen hast.

Habe das gerade mit diesem PoC getestet: GitHub - rootsecdev/cve_2026_31431: Exploit POC for CVE_2026_31431 · GitHub

Kann das oben bestätigen: Mein einziges QNAP NAS, das davon betroffen ist, hat eine ARM64-CPU (TS-216G mit QTS 5.2.9.3451).

Alle anderen Architekturen waren OK. :+1:

[/share/Public] # python3 test_cve_2026_31431.py; echo $?
[*] CVE-2026-31431 Detector  kernel=5.10.60-qnap  arch=aarch64
[i] Kernel 5.10.60-qnap ist älter als die betroffenen 6.12/6.17/6.18-Versionen; Ausnutzung könnte nicht möglich sein, auch wenn die Voraussetzungen stimmen.
[+] AF_ALG + 'authencesn(hmac(sha256),cbc(aes))' ladbar – Voraussetzung erfüllt.
[!] ANFÄLLIG für CVE-2026-31431.
[!]   Marker b'PWND' (AAD seqno_lo) landete auf der gesplitteten page-cache-Seite bei Offset 0.
[!]   Umlandende Bytes: 50574e444641494c2d53454e  (b'PWNDFAIL-SEN')
[!] Upstream-Fix anwenden oder algif_aead sofort blockieren.
2

Ich fand es ziemlich interessant, dass nur die QNAP-Modelle mit Arm betroffen sind. Die x86-Modelle müssen wohl einen anderen Kernel verwenden. Tatsächlich hat sich doch neulich jemand darüber beschwert, dass sein QNAP einen „alten“ Linux-Kernel benutzt, oder? :grinning_face_with_smiling_eyes:

Ich denke, diese spezielle Schwachstelle hängt von den Fähigkeiten des Kernels ab, die zur Kompilierzeit festgelegt werden. Ich vermute, QNAP kompiliert den aarch64-Kernel mit anderen Optionen als die der anderen NAS-Architekturen.

Aber ich könnte mich auch irren. Ich bin kein Kernel-Guru. :nerd_face:

Vom Design her müssen ARM und x86_64 unterschiedliche Kernel haben.

Ein weiterer Punkt ist, dass die ARM-Modelle auf das Toolchain der SoC-Hersteller angewiesen sind und oft auf dem von SoC-Herstellern angepassten Linux basieren, anstatt auf einem generischen Arch wie bei x86. Wir haben zwar Zugriff auf den gesamten Kernel-Code, aber solange alles funktioniert, ändern wir nicht alles. Deshalb können die Ergebnisse unterschiedlich ausfallen.

Ein Nutzer im deutschen Forum spekuliert, dass QNAP ein bestimmtes Modul nicht in die x86-NAS-Kernel-Versionen kompiliert hat.