Samba Sicherheitslücke

[whitbread]

Sind wir betroffen?

Siehe http://heise.de/-2558494

 

[MaCoM]

hast du port 445 zum internet offen ?

 

[whitbread]

Natürlich nicht - nichtmal Samba aktiviert bei von aussen erreichbarer NAS.

Was jedoch nicht zwangsweise heisst nicht betroffen zu sein, da es ja noch interne Nutzer gibt...

 

[raymond]

Antwort auf meine Anfrage diesbezüglich:

Thank you for your feedback.

We had confiremd the known issue about samba at the moment.
And it will be handled as soon as possible.

Once we had fixed the the CVE issue, the release note will be announced as well.

Again, thank you for bringing this issue to our attention.

 

[dil88]

Sensationell von beiden Seiten, danke raymond!

 

[Frogman]

"Sensationell" von Synology? Nun ja, ich find's sensationell grottig, dass man die Jungs auf solche Lücken aufmerksam machen muss! Die großen Distributionen waren gestern schon alle gefixt... (der Fix wurde ja vom Entdecker Anfang der Woche gleich mitgeliefert).

 

[dil88]

Einverstanden, die Wortwahl haut nicht hin. Ich habe immer noch den Stand von Synology vor einem Jahr im Kopf.

 

[raymond]

Ich denke und hoffe, dass sie das auch auf dem Schirm hatten: ging ja breit durch die etablierten IT-Medien.
Wollte nur die Dringlichkeit festhalten und habe diese kontaktiert, damit Synology auch mitbekommen: muss zügig gefixt werden, weil das auch die User interessiert/beunruhigt.

 

[Frogman]

So, nun ist der Bug inkl. des Patches vom Entdecker schon 6 Tage bekannt... die meisten Linux-Systeme sind gepatcht... und das DSM? Still ruht der See... wie so häufig in letzter Zeit lassen sich die Jungs mächtig lange Zeit (ich meine, der Patch ist ja mitgeliefert worden, sie müssen den ja nur ins System pflegen und einen Test machen).

 

[nachon]

Darauf ein erneutes "sensationell"

@dill88
Nicht bös gemeint.

 

[raymond]

Dann müssen alle Leute die mal anschreiben und mal Druck machen.

 

[Frogman]

done (for the 3rd time)

PS: Ich befürchte, die ganzen Ressourcen schrauben noch an der Beta der 5.2 - sind ja nur noch 2 Wochen bis zur CeBIT

 

[raymond]

done (for the 3rd time)

PS: Ich befürchte, die ganzen Ressourcen schrauben noch an der Beta der 5.2 - sind ja nur noch 2 Wochen bis zur CeBIT

Ich auch. Aber es müsste die Beta parallel entwickelt werden. Es gibt etliche User die betroffen sind und da muss ein Patch her (DSM4.3, DSM5.0, DSM5.1).
Oder Stufen die es nicht als so wichtig ein, da es von außen ja nicht möglich ist. Die meisten Angriffe, sollten die auch wissen, finden innerhalb des Unternehmen statt.

 

[whitbread]

Naja - bei dem Feedback hier scheint es zumindest gefühlt nicht die grosse Bedeutung zu haben.

Die Anzahl derer, die mehrere Nutzer und dazu noch mit potentiell krimineller Energie hinter ihrer NAS haben ist wohl eher gering...

 

[Hafer]

Braucht's kriminelle Energie innerhalb eines Unternehmens, um anzugreifen? Reicht nicht ein kompromittierter Rechner innerhalb des Unternehmens?

Gruß Hafer

 

[geimist]

Seit dem 25.2. scheint es auf dem Synologyserver Vorbereitungen für Update 5022-3 zu geben. In php ist (glaube ich) auch noch eine Lücke offen.
Schaun wir mal …

 

[Apropo]

Version : 5.1-5022 Update 3

(2015/03/02)
Fixed Issues
Fixed a security vulnerability related to SAMBA (CVE-2015-0240).

 

[friedmar]

Ab heute ist Samba 3.6 NICHT mehr unterstützt! Samba 4.2 ist freigegeben.

Das ist übrigens schon mindestens seit der ersten Beta von 4.2 vor über einem Jahr bekannt. Synology scheint das verdrängt zu haben. Aus meiner Sicht müsste schon mindestens 5.1 eine 4er Samba Version im Einsatz sein.

 

[Frogman]

Du hast doch nun schon Deinen Thread dazu gemacht ... - und abgesehen davon ist das für das Thema dieses Threads nicht wirklich relevant. Oder was willst Du uns jetzt damit hier sagen?