DSM 7.1 ✋ Synology warnt vor Sicherheitslücke im DSM vom 09.01.2024

[sky63]

wenn das OS nicht mehr gepacht wird

Der Grund warum ich nur 2 Synos gekauft habe. Die erste und die letzte.

Wobei es auch um andere Software auf der Syno geht.

Gruss,
sky

 

[ctrlaltdelete]

Linux DS920plus 4.4.302+ #69057 SMP Mon Nov 13 14:19:30 CST 2023 x86_64 GNU/Linux synology_geminilake_920+

 

[plang.pl]

Jo, so sieht es auf der 720+ auch aus und anscheinend auch auf der 23er Modellen, was echt ein Armutszegnis ist

 

[ctrlaltdelete]

Das ist allerdings etwas traurig.

 

[Puppetmaster]

Solange keine weiteren Infos zu der Lücke bekannt gegeben werden, bin ich noch relativ wenig alarmiert.
Ich fahre noch einen DSM 6.2 auf einer DS415+ und würde auch derzeit nicht auf DSM 7.x wechseln wollen.

Wenn man ein böser Schelm wäre, dann könnte man auch denken, Synology nutzt das neue Jahr, um die Verkaufszahlen mit einer ganz ausgefuchsten Sales-Strategie anzukurbeln, und, um sich vom pflegebedürftigen DSM 6.x und allem darunter endlich mal zu verabschieden.
Wer weiß schon wirklich, wie schwerwiegend die Lücke ist.
Ich empfinde es jedenfalls als auffällig, dass Synology als einzigen Patch, das "Update auf DSM 7.2" anbietet. So kenne ich das gar nicht. Bisher haben sie bei - mindestens relevanten - Themen immer auch noch DSM 6.x mit entsprechenden Updates versorgt. Ihnen sollte klar sein, dass eine nicht geringe Zahl dieses Update auf ihrer derzeitig genutzten Maschine gar nicht durchführen können.

 

[NSFH]

Für schnelle Abhilfe sorgt ein Update auf die neueste Version des DSM.
Steht irgendwo, dass ein Patch der älteren Systeme NICHT kommt weil sich hier alle aufregen?

Was für ein Aufriss und bestimmt die Hälfte der Nutzer hat einen Router am Internet hängen, dessen BIOS vom Hersteller schon seit Jahren nicht mehr gefixt wird und Sicherheitslücken ohne Ende mit sich schleppt.

 

[Puppetmaster]

Für schnelle Abhilfe sorgt ein Update auf die neueste Version des DSM.

Witzbold! Und sachlich falsch, denn nur ein Update auf eine DSM Version >= 7.2-64561 sorgt für Abhilfe. Das können viele aber aufgrund des Alters der DS gar nicht mehr beziehen.

Steht irgendwo, dass ein Patch der älteren Systeme NICHT kommt

Steht denn irgendwo, dass noch etwas kommt?

 

[Jim_OS]

Hauptsache Presse ist gesättigt.

Und man kann so tun als wenn man alles im Griff hat und selbstverständlich Sicherheitslücken fixt.

Wenn ich als Hersteller eine Info veröffentliche das und wie eine Sicherheitslücke gefixt wurde und dann schreibe das Kunden mit DSM 6.2 und 7.1 in dem Fall die DSM Version 7.2-64561 oder neuer installieren sollen



dann habe ich als Hersteller diese Version auch bitteschön den Kunden zur Verfügung zu stellen. Alles andere ist bzw. wäre eher ein schlechter Scherz.

Also erwarte ich jetzt bei meiner DS215j mit aktuell DSM Version: 7.1.1-42962 Update 6 auch ein Update auf DSM 7.2-64561. Wenn das nicht kommt wäre die Info von Synology bzgl. der Sicherheitslücke schlicht und einfach falsch und bzgl. dem Posting von @NSFH: Zumindest mich interessiert in dem Zusammenhang nicht was andere Hersteller machen oder ggf. auch nicht. Ebenso interessiert mich nicht welche Sicherheitslücken andere User ggf. haben oder ggf. auch nicht. Ich weiß zwar was Du damit zum Ausdruck bringen willst/möchtest, aber das ist m.M.n. hiermit nicht zu vergleichen. Wenn ich als Hersteller schreibe der Kunde soll einfach ein Update mache, dieses dann aber dem Kunden nicht zur Verfügung stelle, dann läuft da wohl etwas schief.

VG Jim

 

[Benie]

Wenn man ein böser Schelm wäre, dann könnte man auch denken, Synology nutzt das neue Jahr........

Gar kein so schlechter bzw. am Ende weit hergeholter Gedanke, würde aktuell gut zu allem dazu passen.

 

[Synchrotron]

Sachlich ist für mich die Frage, ob die älteren DSM Versionen gefixt werden können. Hängt es mit dem Kernel zusammen, könnte es schwierig werden.

Faktisch sind die hier immer wieder genannten Gerätegenerationen xx15 halt so alt, dass sie wohl kaum noch professionell genutzt werden.

Der Heimanwender muss halt „nur“ sein Netzwerk abschotten, und lebt ohne Patch weiter. Vielleicht erfahren wir ja noch, wie der Angriffsvektor genau aussieht. Dann lässt es sich noch besser eingrenzen.

 

[Benie]

Faktisch sind die hier immer wieder genannten Gerätegenerationen xx15 halt so alt, dass sie wohl kaum noch professionell genutzt werden.

Dessen ist sich Synology bestimmt sehr bewußt, die Verwendung nur noch als Backup DS, ist ja auch schon in diversen Antworten vom Service so angesprochen worden.

 

[Puppetmaster]

Faktisch sind die hier immer wieder genannten Gerätegenerationen xx15 halt so alt, dass sie wohl kaum noch professionell genutzt werden.

Also, viele haben das Update auf DSM 7.1 noch erhalten oder könnten es erhalten (so wie meine 415+), zu DSM 7.2 ist es dann kein Major Release und sicher auch keine Einschränkung des Kernels in dem Fall. Die Einschränkung ist rein aus vertriebstechnischer Sicht zu erklären. Das war in der Vergangenheit auch schon so. Es gibt schließlich genügend Beispiele, wo auf ältere DSen noch neuere DSM Versionen mittels "Tricks" installiert wurden. Technisch ist das möglich.
Und ob eine DS nun professionell oder privat genutzt wird (die Grenze ist zudem fließend), spielt doch hier gar keine Rolle. Die Geräte werden schließlich im Bereich Privat-, SoHo und größere Unternehmen konzipiert und verkauft.

 

[Synchrotron]

Nur ist eine DS der Generation xx15 in jedem Unternehmen bereits abgeschrieben und „hat ihr Geld verdient“. Das und die extrem viel höheren Kosten mit alter Hardware dürften im gewerblichen Bereich früher zu einem Ersatz führen.

Wir müssen mal abwarten, was noch an Informationen verfügbar wird. Aktuell wissen wir, dass ein lokaler Benutzer Schadcode ausführen kann. Nun ja …

 

[NSFH]

Witzbold! Und sachlich falsch, denn nur ein Update auf eine DSM Version >= 7.2-64561 sorgt für Abhilfe. Das können viele aber aufgrund des Alters der DS gar nicht mehr beziehen.



Steht denn irgendwo, dass noch etwas kommt?

Schade, dass du nicht in der Lage bist zwei zusammenhängende Sätze zu lesen UND zu verstehen.

 

[RT17]

Es folgt ein überraschende Antwort des Synology-Supports:

"Die für Ihr Gerätemodell maximal kompatible Update-Version ist die DSM-Version 7.1.1-42962 Update 6. Wenn Sie diese Version haben, muss das Problem für die Gerätegruppe behoben worden sein. Obwohl das Gerätemodell-DS3615xs nicht mehr hergestellt wird, hat das NAS weiterhin Anspruch auf Sicherheitsupdates.

Es ist kein Patch erforderlich, wenn Ihr DSM für das Gerätemodell auf dem neuesten Stand ist.

Die erwähnte DSM-Schwachstelle Synology-SA-24:01 wurde in der betroffenen DSM-Version behoben. Um die Stabilität der Software zu gewährleisten und die Auswirkungen zu minimieren, haben wir die Schwachstelle direkt behoben, anstatt die zugrunde liegende Software auf die neueste Version zu aktualisieren. Die meisten Schwachstellenscanner melden möglicherweise Fehlalarme, wenn sie nur nach der Version der zugrunde liegenden Software suchen. Seien Sie jedoch versichert, dass diese Schwachstellen bereits behoben sind."

 

[metalworker]

Das ist schon mal schön.

Aber dann hat Synology die Sicherheitsmeldund ungünstig beschrieben.,
Denn da steht ja das nur ein Update auf 7.2.xxx hilft

 

[Kachelkaiser]

ja irgendwie klingt das komisch für mich. Laut Webseite hilft nur ein Update zu 7.2, aber nicht für Maschinen, die offiziell nicht auf 7.2 gehen könne, weil da ist ja alles gut.....

 

[Monacum]

Das klingt schon merkwürdig. Auf der anderen Seite: Hätte Synology dazu geraten, auf 7.1.x zu updaten, wäre die Frage gewesen, warum nicht direkt auf 7.2.x … Am einfachsten wäre ein differenzierterer Beitrag oder ein neuer Eintrag in der Knowledge Base, welches Modell wegen der Sicherheitsbedenken auf welche Version geupdatet werden sollte.

 

[Puppetmaster]

Nur ist eine DS der Generation xx15 in jedem Unternehmen bereits abgeschrieben und „hat ihr Geld verdient“. Das und die extrem viel höheren Kosten mit alter Hardware dürften im gewerblichen Bereich früher zu einem Ersatz führen.

Das mag ja sein, aber mich persönlich interessiert der gewerbliche Einsatz nicht. Wie bei sehr vielen anderen Nutzern hier wird meine DS rein privat genutzt, da wird keine Hardware abgeschrieben.
Insofern ist die Informationslage gerade mehr als dürftig. Mich wird der Zustand nun sicher nicht dazu bewegen, mir deswegen neue Hardware zu kaufen - zumindest keine von Synology. Die Informationspolitik ist einfach dürftig und widersprüchlich. @Jim_OS hat es hier schon sehr gut beschrieben.
Und solange ich überhaupt nicht einschätzen kann, wie die Sicherheitslücke sich nun genau gestaltet, so lange kann ich ohnehin keine Entscheidung auf einer soliden Grundlage treffen.

 

[metalworker]

also wenn ein Gerät 9 Jahre alt ist . noch mit Sicherheitsupdates vom HErsteller versorgt wird, dann ist das schon recht selten in der IT.

Aber ich stimme dir zu es gibt viele einfache nutzer die lassen die Büchsen laufen bis sie auseinanderfall.

Bis vor einigen Jahren war das auch möglich.
Aber die lage hat sich in den letzten Jahren Massiv geändert.

Ich selbst sehe auch ein gerät aus 2015 als abgeschrieben an . auch Privat.

Schlimmer ist es meiner Meinung nach das Synology da nicht konkret schreibt welche Systeme betroffen sind und welche nicht.
Das ist relativ Nebulös.