Kritische Zero-Day-Lücke in Log4j - ist DSM betroffen?

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.117
Punkte für Reaktionen
256
Punkte
129
Ok, passt auch, dass du anderer Meinung bist (y)

Ich verfolge das wahrscheinlich (arbeitsbedingt) etwas mehr.
Hier gibt es schon genug andere Beispiele, die eher in die Richtung gehen: wir sind nicht betroffen, aber bitte kontrolliert eure Anwendungen. Siehe zB. Jboss wildfly
Gerade bei Servern oder eben auch NAS kann man ja durchaus was hosten, was betroffen ist.
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Security Advisories werden von Synology auch bei Bedarf als CVE gemeldet. Und CVEs unterliegen bestimmten Regeln. Da kann man nicht zum Rundumschlag ausholen. IMHO sind Statements wie auf reddit wichtig, um Endanwender zu erreichen, während Security Advisories über definierte Wege an kundige Personen verteilt werden und daher auch bestimmten Formen folgen müssen.

MfG Matthieu
 
  • Like
Reaktionen: frimp
Mitglied seit
30. Jan 2014
Beiträge
11
Punkte für Reaktionen
0
Punkte
1
Ok, passt auch, dass du anderer Meinung bist (y)

Ich verfolge das wahrscheinlich (arbeitsbedingt) etwas mehr.
Hier gibt es schon genug andere Beispiele, die eher in die Richtung gehen: wir sind nicht betroffen, aber bitte kontrolliert eure Anwendungen. Siehe zB. Jboss wildfly
Gerade bei Servern oder eben auch NAS kann man ja durchaus was hosten, was betroffen ist.

TL;DR: synology als NAS Firma hat ihre pflicht erfüllt, unwissende user bitte checkt eure Java Packages :)


war auch gerade auf der suche nach den infos. mein background: bin java softwareentwickler

genau das was synology offiziell gepostet hat ist das was ich erwarte zu finden.
warum?
ganz einfach!
grundlegend ist einmal, das system das sie anbieten, dass was sie warten und worüber sie informieren müssen.
nun haben sie keinerlei java applikationen laufen.
java existierte bis DSM6 als package das man installieren kann. gut beim 7er fällt auch das flach.

wenn ich jetzt selbst AKTIV java installiere weiß ich ja auch welche java apps ich infolge dessen laufen lasse.
alle standard packages kommen ohne java aus, und genau das bestätigen sie uns im advisory.


wenn ich jetzt selbst einen server installiere der von außen erreichbar ist und der auf java läuft dann muss ICH nachschauen was der hersteller der software sagt, und nicht der hersteller der NAS.

ich kann ja auch nicht von HP verlangen mir zu sagen, welche lücken mein Windows 10 hat das auf meinem ZBook läuft.
genau so wenig kann microsoft was dafür wenn ich mir java installiere und dort dann vulnerable programme starte.

von synology zu verlangen alle packages die verfügbar sind zu checken, zumal die nun zur gänze aus 3rd party bstehen,
gehört wirklich nicht zu deren aufgaben. da muss man sie wirklich in schutz nehmen :)

somit stimme ich @Wadenbeißer zu.



NICE TO HAVE ... natürlich ... wenn einem mitarbeiter so langweilig ist, um einen offiziellen news oder blog artikel zu schreiben
in dem steht "checken sie bitte alle laufenden java apps. hierfür können wir keine garantie übernehmen" hilft das vielleicht einigen.

aber immer im verhältnis sehen wer wofür zuständig ist oder hat euch ein autohändler schon mal gesagt, bitte zünden sie keinen böller innerhalb des autos? weil nichts anderes ist es. zero day exploits sind tickende bomben im system.
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.117
Punkte für Reaktionen
256
Punkte
129
Weiter gehts mit dem patchen. log4j 2.16.0 wurde bereits released.

CVE-2021-45046: Apache Log4j2 Thread Context Message Pattern and Context Lookup Pattern vulnerable to a denial of service attack
 

Jagnix

Benutzer
Sehr erfahren
Mitglied seit
10. Okt 2018
Beiträge
1.238
Punkte für Reaktionen
328
Punkte
109
Kannst Du Deine Sicht etwas näher begründen?

Synology bewertet. nur ihre eigenen Produkte und APPs. Da die anderen nicht erwähnt werden sind sie potenziell als Risiko einzustufen. Ergo muss das nicht extra erwähnen.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat