Kritische Zero-Day-Lücke in Log4j - ist DSM betroffen?

[tproko]

Ok, passt auch, dass du anderer Meinung bist

Ich verfolge das wahrscheinlich (arbeitsbedingt) etwas mehr.
Hier gibt es schon genug andere Beispiele, die eher in die Richtung gehen: wir sind nicht betroffen, aber bitte kontrolliert eure Anwendungen. Siehe zB. Jboss wildfly
Gerade bei Servern oder eben auch NAS kann man ja durchaus was hosten, was betroffen ist.

 

[Iarn]

Sehe ich anders.

Kannst Du Deine Sicht etwas näher begründen?

 

[Matthieu]

Security Advisories werden von Synology auch bei Bedarf als CVE gemeldet. Und CVEs unterliegen bestimmten Regeln. Da kann man nicht zum Rundumschlag ausholen. IMHO sind Statements wie auf reddit wichtig, um Endanwender zu erreichen, während Security Advisories über definierte Wege an kundige Personen verteilt werden und daher auch bestimmten Formen folgen müssen.

MfG Matthieu

 

[sebastianbrandner]

Ok, passt auch, dass du anderer Meinung bist

Ich verfolge das wahrscheinlich (arbeitsbedingt) etwas mehr.
Hier gibt es schon genug andere Beispiele, die eher in die Richtung gehen: wir sind nicht betroffen, aber bitte kontrolliert eure Anwendungen. Siehe zB. Jboss wildfly
Gerade bei Servern oder eben auch NAS kann man ja durchaus was hosten, was betroffen ist.

TL;DR: synology als NAS Firma hat ihre pflicht erfüllt, unwissende user bitte checkt eure Java Packages


war auch gerade auf der suche nach den infos. mein background: bin java softwareentwickler

genau das was synology offiziell gepostet hat ist das was ich erwarte zu finden.
warum?
ganz einfach!
grundlegend ist einmal, das system das sie anbieten, dass was sie warten und worüber sie informieren müssen.
nun haben sie keinerlei java applikationen laufen.
java existierte bis DSM6 als package das man installieren kann. gut beim 7er fällt auch das flach.

wenn ich jetzt selbst AKTIV java installiere weiß ich ja auch welche java apps ich infolge dessen laufen lasse.
alle standard packages kommen ohne java aus, und genau das bestätigen sie uns im advisory.


wenn ich jetzt selbst einen server installiere der von außen erreichbar ist und der auf java läuft dann muss ICH nachschauen was der hersteller der software sagt, und nicht der hersteller der NAS.

ich kann ja auch nicht von HP verlangen mir zu sagen, welche lücken mein Windows 10 hat das auf meinem ZBook läuft.
genau so wenig kann microsoft was dafür wenn ich mir java installiere und dort dann vulnerable programme starte.

von synology zu verlangen alle packages die verfügbar sind zu checken, zumal die nun zur gänze aus 3rd party bstehen,
gehört wirklich nicht zu deren aufgaben. da muss man sie wirklich in schutz nehmen

somit stimme ich @Wadenbeißer zu.



NICE TO HAVE ... natürlich ... wenn einem mitarbeiter so langweilig ist, um einen offiziellen news oder blog artikel zu schreiben
in dem steht "checken sie bitte alle laufenden java apps. hierfür können wir keine garantie übernehmen" hilft das vielleicht einigen.

aber immer im verhältnis sehen wer wofür zuständig ist oder hat euch ein autohändler schon mal gesagt, bitte zünden sie keinen böller innerhalb des autos? weil nichts anderes ist es. zero day exploits sind tickende bomben im system.

 

[tproko]

Weiter gehts mit dem patchen. log4j 2.16.0 wurde bereits released.

CVE-2021-45046: Apache Log4j2 Thread Context Message Pattern and Context Lookup Pattern vulnerable to a denial of service attack

 

[Jagnix]

Kannst Du Deine Sicht etwas näher begründen?

Synology bewertet. nur ihre eigenen Produkte und APPs. Da die anderen nicht erwähnt werden sind sie potenziell als Risiko einzustufen. Ergo muss das nicht extra erwähnen.

 

[Iarn]

Das ist mir ehrlich gesagt zu viel Implikation des Indirekten mit dabei.