DSM 7.1 Sicherheitslücke bei sudoedit

[Monacum]

Moin zusammen, bei QNAP wurde die Tage eine Sicherheitslücke bei der Verwendung von sudoedit («sudo -e») gefunden, die – so wurde jetzt bestätigt – auch bei Synology-Systemen ausgenutzt werden könnte:

Synology: Auch von sudo-Schwachstelle betroffen
«Betroffen sind alle Synology-Systeme außer SRM 1.2, bislang stehen keine Updates zur Verfügung, Synology sei aber dran, diese zu realisieren und zur Verfügung zu stellen. Abschwächungsmaßnahmen stehen derzeit nicht zur Verfügung, außer, dass keinem direkter Zugriff gewährt werden sollte.»

An einem Patch wird anscheinend schon gearbeitet. Hier noch der Link zu CVE-2023-22809.

 

[Synchrotron]

... außer, dass kein direkter Zugriff gewährt werden sollte.

Es bewährt sich immer wieder, dass wir hier im Forum davon abraten, die DS zugänglich ins böse, böse Netz zu stellen.

 

[Gulliver]

Wie ich das verstehe, kann ein Anwender ohne root-Rechte sich hier root-Rechte ergaunern. D. h. aber doch, dass er sich anmelden und auf die Konsole kommen muss. Also ganz soo wild ist die Sache nicht, oder verstehe ich das falsch? Ein user, der via VPN zugreift, kann das ja auch...

 

[EDvonSchleck]

Es bewährt sich immer wieder, dass wir hier im Forum davon abraten, die DS zugänglich ins böse, böse Netz zu stellen.

Und das ist im Netzwerk nicht möglich durch ein gekapertes Gerät?

 

[mayo007]

https://www.synology.com/de-de/security/advisory/Synology_SA_23_02

 

[Synchrotron]

Und das ist im Netzwerk nicht möglich durch ein gekapertes Gerät?

Wenn du es super genau nehmen willst, natürlich. Wenn es bereits so weit ist, dass ein Gerät im Netzwerk kompromittiert ist, dürfte das allerdings eines deiner kleineren Probleme sein. Einstufung ist low, klingt nicht nach "der Boden brennt".

 

[EDvonSchleck]

Alles gut, ich sehe es auch nicht so kritisch. Nur kam mir deine Aussage sehr gewagt vor.

 

[goetz]

Hallo,
ich versuche das mal einzuordnen.
Eine Sicherheitslücke wurde von CVE für sudo veröffentlicht.
Date Record Created 20230106 also nicht der ganz heiße Sch...
Alle Distributionen die sudo in den Versionen von 1.8.0 bis 1.9.12.p1 verwenden sind betroffen.
Konkret bei mir:
@work alle Debian, alle Ubuntu, ein armbian, eine RS
.@home alle DS, alle armbian, eine VM
Sehe ich gelassen, sudo dürfen je nach System nur 1 oder 2 Personen machen und die Zugangsregulierung ist recht hoch.
Also, es dürften Millionen Systeme betroffen sein.
Was mich ärgert, im zitierten Blog wird erst mit dem Finger auf Qnap gezeigt und dann auf Synology ohne zu reflektieren, daß auch größenteils Standardsysteme betroffen sind.

Gruß Götz
PS: wenn man mit einem Finger auf etwas zeigt, zeigen 3 Finger auf einen selbst.
PPS: was ergibt denn sudo -V auf einem MacOS?

 

[Synchrotron]

@goetz Das:



Soll ich mich jetzt fürchten ?

 

[ebusynsyn]

Es bewährt sich immer wieder, dass wir hier im Forum davon abraten, die DS zugänglich ins böse, böse Netz zu stellen.

- gestern gab es einen Autounfall auf der Autobahn, ich nutze die Autobahn nicht mehr.
- letzte Woche hab ich gelesen, dass es durch ein Gasleck im Nachbardorf eine Explosion gab, ich werde nicht mehr mit Gas heizen
- in Amerika gibt es immer wieder Amokläufe in Schulen, es empfiehlt sich die Kinder nicht mehr in die Schule gehen zu lassen
- Wusstet ihr, dass Flugzeuge abstürzen können, Züge entgleisen und sogar manchmal Lifte stecken bleiben?

Null Risiko im Leben gibt es nicht! Schützen ja, auf jeden Fall - aber gleich darauf verzichten. Ich eher nicht.

@Synchrotron: Dies ist nicht gegen Dich persönlich gerichtet, es ist mehr so eine frühmorgendliche Gedankenexplosion aufgrund Deiner Zeile, wobei ich nicht mal sicher bin ob es ernst gemeint oder eher Zynismus ist.

 

[Monacum]

Was mich ärgert, im zitierten Blog wird erst mit dem Finger auf Qnap gezeigt und dann auf Synology ohne zu reflektieren, daß auch größenteils Standardsysteme betroffen sind.

Bitte nicht über die Qualität der Beiträge in diesem Blog ärgern. Das war halt die erste Quelle, die ich gefunden habe, und um einen groben Überblick zu bekommen oder die Information eben hier weiterzuleiten, dass es überhaupt irgendeine Sicherheitslücke gibt (deswegen habe ich auch keine Aussage über die Gefährlichkeit getroffen, weil mir dafür schlicht die Informationen und das wissen fehlen) fand ich den Beitrag in Ordnung, aber fundierte Beiträge eben über die Auswirkungen darfst du da eher nicht erwarten, die suchen gefühlt das Internet ab und schreiben dann eine deutschsprachige Meldung dazu, nicht mehr und nicht weniger.

 

[Monacum]

Null Risiko im Leben gibt es nicht! Schützen ja, auf jeden Fall - aber gleich darauf verzichten.

Man muss das Risiko aber auch richtig abschätzen und abwägen können und ob das jeder kann, der sein NAS ins Internet stellt? Das dürfte bei den Beispielen oben deutlich anders aussehen, was das Risiko auf der Autobahn betrifft und Flugzeugabstürze sind zum Glück sowieso so selten geworden, dass man das Risiko gut eingehen kann.

 

[Synchrotron]

@ebusynsyn Wir haben hier genügend Beispiele von Fahren ohne Führerschein (und Kompetenz), vom Betreiben einer Gasheizung ohne Absperrhahn und vom Abheben, ohne vorher zu tanken.

„Ich habe gelesen, meine Fotos teilen ist ganz einfach“, „wieso muss ich eine Firewall einrichten, ich habe doch nur den Port aufgemacht“, und besonders den Klassiker „brauche kein Backup, habe RAID x eingerichtet“.

Glaubst du nicht ? Ich manchmal auch nicht, kannst du dir nicht ausdenken