Synology DiskStation Manager (DSM) 4.3-3776 - Multiple Vulnerabilities

Status
Für weitere Antworten geschlossen.

jan_gagel

Benutzer
Mitglied seit
05. Apr 2010
Beiträge
1.890
Punkte für Reaktionen
1
Punkte
0

süno42

Benutzer
Mitglied seit
29. Nov 2012
Beiträge
224
Punkte für Reaktionen
0
Punkte
0
Ich habe zu diesem Thema gestern mal Synology kontaktiert, mit dem Ergebnis, daß sie angeblich noch immer von nichts wußten. Ich habe in der Anfrage ausdrücklich auf die gut beschriebenen Exploits und diesen Thread verwiesen. Als Antwort kam, daß ich bitte nicht auf Foren verweisen soll, sondern genau mit Beispiel erklären möge, wie sich Sicherheitslücken ausnutzen lassen. Synology möchte trotz guter Dokumentation nochmals alles vorgekaut haben.

Das finde ich in Anbetracht der Problematik keinen guten Einstieg seitens Synology und zeugt nicht sonderlich von Kompetenz :mad:
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
628
Punkte
484
Das finde ich in Anbetracht der Problematik keinen guten Einstieg seitens Synology und zeugt nicht sonderlich von Kompetenz :mad:

Aber es war doch sicher genau das, was du auch erwartet hast, oder?
 

süno42

Benutzer
Mitglied seit
29. Nov 2012
Beiträge
224
Punkte für Reaktionen
0
Punkte
0
Aber es war doch sicher genau das, was du auch erwartet hast, oder?

Nein, ganz und gar nicht. Ich hätte erwartet, daß Synology an diesem brisanten Thema Interesse bekundet und bemüht, die Ursachen zu ergründen und die Fehler schnellstmöglichst abzustellen. Aber stattdessen möchte man alles auf einem Silbertablet.
 

jan_gagel

Benutzer
Mitglied seit
05. Apr 2010
Beiträge
1.890
Punkte für Reaktionen
1
Punkte
0
Also ich hatte mal ein Problem, welches im Forum lang und breit diskutiert und getestet wurde. Als ich da Synology mit kontaktiert hatte, verlangten sie alle möglichen Informationen, u. A. auch einen Link zum Thread, in dem das in diesem Forum diskutiert wurde. Von da her bin ich über die aktuelle Reaktion durchaus verwundert. Zumal die Sicherheitslücke als ziemlich kritisch eingestuft werden kann.
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Als Antwort kam, daß ich bitte nicht auf Foren verweisen soll, sondern genau mit Beispiel erklären möge, wie sich Sicherheitslücken ausnutzen lassen. Synology möchte trotz guter Dokumentation nochmals alles vorgekaut haben.
Mich würde der O-Ton mal interessieren. Bekannt ist es auf jeden Fall, die Frage ist ob das die über den Globus verteilten Support-Abteilungen schon alle kennen und ob sie es nicht vielleicht doch für eine neue Lücke halten. Ich hoffe mal du hast nicht auf deinen Beitrag mit den 4 Links verwiesen, sondern auf den Eintrag in den Exploit-DBs.

MfG Matthieu
 

fcscholz

Benutzer
Mitglied seit
29. Aug 2013
Beiträge
131
Punkte für Reaktionen
3
Punkte
18
Moin,

habe alle Links (leider nur mit den externen URLs) probiert und habe es nicht geschafft auch nur einen Exploit zu rekonstruieren (meine DS412+ läuft auch erst seit 2,3 oder 3 Tagen mit neuem DSM). Hmmm Er zeigt entweder "kene Verbindung" (über 5000, 5001 und alle NICHT bei mir freigegebenen Ports) oder auch die 404-Seite... Gutes Zeichen?

Frage: Wollen wir nicht ein Exploit-Wiki (besser Newsletter) zum Thema Sicherheit und DSM betreiben? Würde, so weit ich das kann/meine Fähigkeiten dazu reichen, sehr gerne mitwirken! Fazit --> Bei mir scheint alles Sicher, auch die Sysinfo. Gleich mal von INTERN versuchen!

LG
Florian
 

fcscholz

Benutzer
Mitglied seit
29. Aug 2013
Beiträge
131
Punkte für Reaktionen
3
Punkte
18
Nachtrag:

Wenn ich die Quelle (http://seclists.org/fulldisclosure/2013/Sep/53 ) richtig verstehe, sind die Exploits noch nur relevant, wenn die DSM-Oberfläche (5000) von außen zugänglich ist, oder?
Verwegene Idee: könnten wir nicht die gröbsten schnitzer im CGI-Skript flicken? Gerade das mit der Übergabe des Sprach-Parameters? (Das scheint der schlimmste Fehler zu sein)

(btw: Gibt es Quellen für solche Vulnerabilities/Exploits, die man abonnieren könnte?)
 

süno42

Benutzer
Mitglied seit
29. Nov 2012
Beiträge
224
Punkte für Reaktionen
0
Punkte
0
Mich würde der O-Ton mal interessieren. Bekannt ist es auf jeden Fall, die Frage ist ob das die über den Globus verteilten Support-Abteilungen schon alle kennen und ob sie es nicht vielleicht doch für eine neue Lücke halten. Ich hoffe mal du hast nicht auf deinen Beitrag mit den 4 Links verwiesen, sondern auf den Eintrag in den Exploit-DBs.

MfG Matthieu

Ich habe natürlich primär auf die Exploit-DB verwiesen und diesen Thread optional angegeben. Eine erneute Rückmeldung von Synology war gestern, daß es doch bekannt ist und in einen der nächsten DSM-Versionen behoben wird. Letzteres ist natürlich auch nicht zufriedenstellend. Do etwas gehört als Hotfix und Patch außerhalb der Releaseplanung behoben, wie es für jedes Softwareprojekt üblich ist oder sein soll.
 

jan_gagel

Benutzer
Mitglied seit
05. Apr 2010
Beiträge
1.890
Punkte für Reaktionen
1
Punkte
0
So etwas gehört als Hotfix und Patch außerhalb der Releaseplanung behoben, wie es für jedes Softwareprojekt üblich ist oder sein soll.

Gerade jetzt, wo der DSM ja auch Mini-Updates beherrscht, sollte es prinzipiell möglich sein, da schnellstens einen Flicken zu verteilen. Es gibt ja inzwischen die DSM 4.3 - 3776-1
 

fcscholz

Benutzer
Mitglied seit
29. Aug 2013
Beiträge
131
Punkte für Reaktionen
3
Punkte
18
Also ich habe nochmal ausgiebig getestet und auf die ganz neue Version (DSN 4.3-3776-1) geupdatet.

Der Angriff mit der System-Info geht bei mir definitiv NICHT mehr, sonst bei wem??

LG

Florian
 

süno42

Benutzer
Mitglied seit
29. Nov 2012
Beiträge
224
Punkte für Reaktionen
0
Punkte
0
Hi,

Also ich habe nochmal ausgiebig getestet und auf die ganz neue Version (DSN 4.3-3776-1) geupdatet.

Der Angriff mit der System-Info geht bei mir definitiv NICHT mehr, sonst bei wem??

bist Du sicher?

Das wäre ein Grund, für mich auf DSM 4.3 zu aktualisieren. Aber dem stehen die geschilderten Probleme entgegen. Hast Du beim Kopieren der URL von der Exploit-Seite auch darauf geachtet, daß keine Leerzeichen (kommen durch kopierte Zeilenumbrüche zustande) in der URL sind?


Viele Grüße
Süno42
 

fcscholz

Benutzer
Mitglied seit
29. Aug 2013
Beiträge
131
Punkte für Reaktionen
3
Punkte
18
Hi,

ne, leider nicht :-( geht doch noch.... komisch!

Ich hatte es getestet, dann die DSM-Version mit einem Update auf -1 gebracht und dann einfach reload im Browser gedrückt --> ging nicht mehr (ja ich habe gewartet, bis alle dienste wieder liefen) Ich habe dann die URL aus dem zweiten Poste mit Exploit-Urls kopiert, und da gings dann wieder! Komisch...

Der langen Rede gar kein Sinn: Selbst wenn es (ein wenig) besser geworden sein sollte: DIE LÜCKEN BESTEHEN DEFINITIV NOCH

LG

Florian

PS Wie ist denn das mit dem XSS? Kann man das nicht generell verhindern?
 

hopeless

Benutzer
Mitglied seit
18. Feb 2013
Beiträge
1.066
Punkte für Reaktionen
0
Punkte
56
habe alle Links (leider nur mit den externen URLs) probiert und habe es nicht geschafft auch nur einen Exploit zu rekonstruieren (meine DS412+ läuft auch erst seit 2,3 oder 3 Tagen mit neuem DSM). Hmmm Er zeigt entweder "kene Verbindung" (über 5000, 5001 und alle NICHT bei mir freigegebenen Ports) oder auch die 404-Seite... Gutes Zeichen?

Faszinierend, ich wollte das ja gar nicht glauben!
Ich musste vorgestern meine DS komplett neu installieren und kann seit dem die Exploids auch nicht mehr nachvollziehen. Es scheint also entweder nur DS zu betreffen die von Versionen ab 4.2 upgedatet wurden, oder es liegt am bisher nicht installierten IPKG?!

Edit: Kommando zurück!
Die Exploids sind immer noch da!
Sobald man einen Benutzerdefinierten Port öffnet, kommen die Exploits darüber wieder herein. Also bei mir die AudioStation mit Port 8080, Scheiße! :mad:
 
Zuletzt bearbeitet:

fcscholz

Benutzer
Mitglied seit
29. Aug 2013
Beiträge
131
Punkte für Reaktionen
3
Punkte
18
Ich musste vorgestern meine DS komplett neu installieren und kann seit dem die Exploids auch nicht mehr nachvollziehen. Es scheint also entweder nur DS zu betreffen die von Versionen ab 4.2 upgedatet wurden, oder es liegt am bisher nicht installierten IPKG?!

Muss ich dich sehr enttäuschen, meine ist 2-3 Tage alt und komplett neu aufgesetzt, das IPGK ist auch nicht drauf :-(

Aber: Ich kann weder auf port 8080 noch auf port 80 oder 443 (80 und 443 sind die einzigen, die weitergeleitet werden) etwas verzeichnen, also von außen! Ist meine DS doch sicher? (Wie sicher ist eigentlich die Photostation?)

Was meint Ihr?

Gruß

Florian
 

fcscholz

Benutzer
Mitglied seit
29. Aug 2013
Beiträge
131
Punkte für Reaktionen
3
Punkte
18
Nachtrag:

Nein, ich schaffe es nur auf den Ports 5000 und 5001 die Exploits nachzuvollziehen. Von außern besteht keine Chance (immer 404-Fehler). Sicher?
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Ich habe von außen über 5001 immer noch Erfolg mit der Systeminfo - trotz 3776-1 (ohne IPKG).
 

fcscholz

Benutzer
Mitglied seit
29. Aug 2013
Beiträge
131
Punkte für Reaktionen
3
Punkte
18
Ja klar, ich habe den 5000 und 5001 gesperrt. Ich habe nur 443 und 80 offen, und denke, dass ich sicher sein sollte, oder?

LG

Florian
 

hopeless

Benutzer
Mitglied seit
18. Feb 2013
Beiträge
1.066
Punkte für Reaktionen
0
Punkte
56
Ich habe von außen über 5001 immer noch Erfolg mit der Systeminfo - trotz 3776-1 (ohne IPKG).

Sorry an ALLE, die Exploids sind auch bei mit immer noch komplett!

Ich hatte nach der neuen Installation vergessen https wieder zu aktivieren, Asche auf mein Haupt :(

Edit: Schön wäre es, wenn Synology es endlich schaffen würde, ein Backup zur Verfügung zu stellen das den Namen auch verdient.
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat