Kritische Zero-Day-Lücke in Log4j - ist DSM betroffen?

Penthys

Benutzer
Mitglied seit
04. Jun 2020
Beiträge
250
Punkte für Reaktionen
53
Punkte
34
DSM läuft über nginx und nicht apache. Also vermutlich eher nicht.
 

enil-kil

Benutzer
Mitglied seit
08. Sep 2011
Beiträge
10
Punkte für Reaktionen
5
Punkte
53
Synology ist nicht betroffen, siehe:

Synology_Michael


·vor 2 Std.
Helpful

Synology products are not affected
I confirmed with our PSIRT task force that Synology does not implement or use log4j across any of our products.
However, this obviously may not apply to any 3rd-party packages, containers, and VMs you have on your devices. Make sure you update those or apply the mitigation.
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.117
Punkte für Reaktionen
256
Punkte
129
Nginx oder apache httpd ist da egal.

Es geht hier eher um Apache Projekte, die im Java Umfeld verwendet werden. Bibliotheken die log4j verwenden, sind potentiell betroffen.

Wir haben mittlerweile bei uns log4j aktualisiert. Mit aktueller Java Versionen konnte einer unserer Security Beauftragten den PoC nur zum Teil noch nachstellen, es klappt aber nur mehr ldap lookup, nicht die RemoteCodeExcecution.
Mit Standalone Anwendung und bewusst ältere Java Version wurde dann gedit geöffnet.

Also mMn ist Synology ohne Java bzw. ohne Anwendungsserver (wie Tomcat ) davon nicht betroffen. Ansonsten updaten … Java, log4j. Kommt aber ziemlich drauf an, was ihr am Laufen habt.

Schönen Abend.
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.117
Punkte für Reaktionen
256
Punkte
129
Gegenfrage gibt es von QNAP was offizielles?
Habe da auch noch nichts gefunden.

Also warum sollen sie für einen Java Exploit großartig was schreiben, wo doch zB. Java sogar von DSM7 verbannt wurde 🤷
Für Drittpakete kann sowieso kein Hersteller großartig was sagen.
 

CharlieL

Benutzer
Mitglied seit
12. Dez 2021
Beiträge
2
Punkte für Reaktionen
1
Punkte
53
Hallo tproko,
Sorry, ich bin kein Techniker und Synology verkauft auch an Nutzer. Als Nutzer benötige ich Aussagen von offizieller Seite, von einer Stelle, der ich vertrauen kann. Ist doch verständlich. Wenn sogar die Nicht-Fachpresse wie der „Spiegel“ dieses Thema (Log4j) mit Nachdruck bringt, scheint wirklich die Luft zu brennen…
Danke trotzdem für deine Antwort!
Grüße, Charlie
 
  • Like
Reaktionen: losch

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.117
Punkte für Reaktionen
256
Punkte
129
@CharlieL ist klar, egal ob du dich als Nutzer siehst oder Techniker.

Mit dsm7 wurde java verbannt. Ohne 3. Anwendungen oder Docker ist also mal java weg.
Lies dir deinen Spiegel Artikel nochmal durch. Es geht um Java Anwendungen…!

Überspitzt gesagt, wäre es in etwa so, als wenn du erwartest, dass sich Synology zum Diesel Skandal meldet, dass da nix ist ;-)
Mit dsm6 gab es java Pakete, da würde ich mir Sorgen machen, wenn du die installiert hast.

Aber wofür nutzt du dein NAS überhaupt. Hast du ports nach außen offen? Wenn das nur im LAN ist, erübrigt sich deine Sorge.
 
  • Like
Reaktionen: CharlieL

stevios

Benutzer
Mitglied seit
10. Nov 2013
Beiträge
43
Punkte für Reaktionen
0
Punkte
6
Mit find / -type f -name 'log4j-core*' finde ich bei mir nichts auf der NAS selber. Was sich so in den Docker-Containern usw. rumtreibt steht auf einem anderen Blatt, hat aber mit Synology nichts zu tun.
Ich habe Docker laufen mit einem Pi-Hole-Container. Wenn ich es richtig verstehe, sollte man Docker aktualisieren. Leider wird im Paket-Zentrum nichts neues angeboten. Kann ich Docker auch irgendwie manuell aktualisieren?
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.117
Punkte für Reaktionen
256
Punkte
129
Nein du musst nicht docker aktualisieren, sondern Images, welche java, tomcat oder dergleichen mit log4j am laufen haben…
 

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
5.068
Punkte für Reaktionen
2.260
Punkte
259
  • Like
Reaktionen: tproko

enil-kil

Benutzer
Mitglied seit
08. Sep 2011
Beiträge
10
Punkte für Reaktionen
5
Punkte
53
Eben habe ich auf mein Support-Ticket folgende Antwort erhalten.
Demzufolge soll heute ein offizieller Artikel (Security Advisory) von Synology zu dem Thema veröffentlicht werden.

"...
Dear Customer,

Thank you for contacting Synology Technical Support.

Although this Java library (log4j) is commonly used in different Frameworks like the Apache for example, I wish to inform you that, this doesn't have any effect on us because, we did not use this library. A security advisory will likely be released today on our homepage officially with regards to the CVE-2021-44228.

I will suggest that, you keep your applications and DSM updated regularly.

[...]
Technical Support Engineer
..."
 
  • Like
Reaktionen: Penthys

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.117
Punkte für Reaktionen
256
Punkte
129
Finde ich nicht gut: sie warnen da im offiziellen Artikel nicht vor den Drittanwendungen… auf reddit (siehe Post #4) haben sie explizit darauf hingewiesen.

Jetzt wähnen sich wieder einige in falscher Sicherheit… 🤷
 

Jagnix

Benutzer
Sehr erfahren
Mitglied seit
10. Okt 2018
Beiträge
1.235
Punkte für Reaktionen
324
Punkte
109

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.117
Punkte für Reaktionen
256
Punkte
129
Ja echt jetzt. Soviele Unklarheiten wie sich hier in den paar Posts schon finden, gehen sicher manche auf die Seite von Synology, lesen "oh super, DSM7 ist sicher". Und denken nicht darüber nach, was sie eigentlich so am Laufen haben mit Docker und co.

Da finde ich diese Info bei weitem hilfreicher:
"I confirmed with our PSIRT task force that Synology does not implement or use log4j across any of our products.
However, this obviously may not apply to any 3rd-party packages, containers, and VMs you have on your devices. Make sure you update those or apply the mitigation."
 

Jagnix

Benutzer
Sehr erfahren
Mitglied seit
10. Okt 2018
Beiträge
1.235
Punkte für Reaktionen
324
Punkte
109
Sehe ich anders.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat