Synology DiskStation Manager (DSM) 4.3-3776 - Multiple Vulnerabilities

Status
Für weitere Antworten geschlossen.

claas

Benutzer
Mitglied seit
07. Jan 2010
Beiträge
629
Punkte für Reaktionen
0
Punkte
0
Ich habe in der Anfrage ausdrücklich auf die gut beschriebenen Exploits und diesen Thread verwiesen. Als Antwort kam, daß ich bitte nicht auf Foren verweisen soll, sondern genau mit Beispiel erklären möge, wie sich Sicherheitslücken ausnutzen lassen. Synology möchte trotz guter Dokumentation nochmals alles vorgekaut haben.

Ich habe es auch an den Support gemeldet und als Antwort kam:

Thank you for contacting Synology Support.

I've forwarded your ticket and link to our developers for investigation.
 

die Wildsau

Benutzer
Mitglied seit
01. Feb 2011
Beiträge
248
Punkte für Reaktionen
0
Punkte
16
Zurück aus dem Urlaub habe ich mich eben gefragt, was DSM 4.3 3776-1 für ein Update sein soll. Auf der Seite von Synology findet man nichts darüber.

Ich habe mich in letzter Zeit immer öfter über Synology geärgert. Da eröffnet man vor Ablauf der beta ein Ticket, in dem man darauf aufmerksam macht, dass man die 2-Wege Authentifizierung nicht zurücksetzen kann, wenn der Benutzer zu oft ein Backup-Passwort angefordert hat und eine Woche später bekommt man zur Antwort, dass die beta abgelaufen sei und man auf die neuste DSM-Version updaten solle. Hinzu kommt, dass die "neuen" DS (z.B 112 oder 213j) absolut schlecht verarbeitet sind. Und jetzt noch so ein Klopper... Ab sofort können die Ahnungslosen ihren Mist behalten!
Ich kaufe mir eine DS, um eine eigene Wolke zu haben und nicht einem Unternehmen meine Daten anvertrauen zu müssen und die Reislutscher sorgen dafür, dass nicht nur die NSA, sondern JEDER auf meine Daten zugreifen kann.

Dann bringen die Trottel einen patch raus, der gar keiner ist. So verdammt dämlich kann man ja gar nicht sein.

Edit: Und da ich mir nicht zu helfen wusste, habe ich mein Netzwerk so umgebaut, dass die DS nur noch im WLAN zu finden ist und keine Internetverbindung mehr hat. Die Daten, die ich brauche darf ich jetzt wieder mit mir "rumschleppen". Nur gut, dass ich das iPhone in weiser Vorraussicht mit 64GB Speicher bestellt habe...
 
Zuletzt bearbeitet:

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
[...]Ich kaufe mir eine DS, um eine eigene Wolke zu haben und nicht einem Unternehmen meine Daten anvertrauen zu müssen und die Reislutscher sorgen dafür, dass nicht nur die NSA, sondern JEDER auf meine Daten zugreifen kann.

Dann bringen die Trottel einen patch raus, der gar keiner ist. So verdammt dämlich kann man ja gar nicht sein.

Edit: Und da ich mir nicht zu helfen wusste, habe ich mein Netzwerk so umgebaut, dass die DS nur noch im WLAN zu finden ist und keine Internetverbindung mehr hat. Die Daten, die ich brauche darf ich jetzt wieder mit mir "rumschleppen". Nur gut, dass ich das iPhone in weiser Vorraussicht mit 64GB Speicher bestellt habe...
Sorry, nimm's mir nicht übel - aber hier empfehle ich Dir mal ein wenig mehr Realismus und Nachforschung.
Ok, der Unmut über eine Systemschwäche ist in allen Fällen nachvollziehbar, ich bin da ebenso nicht begeistert. Doch man sollte auf dem Teppich bleiben. Ganz abgesehen von dem Schädigungspotential hier im konkreten Fall (welches Du eventuell doch etwas überbewertest) solltest Du einfach mal auf eine Convention wie bspw. der Black Hat fahren und Dich dort umsehen/umhören. Wenn Du bis dahin angesichts der Sicherheitslage praktisch beliebiger Systeme kein mulmiges Gefühl in der Magengegend hattest - danach hast Du beste Voraussetzungen, eines zu entwickeln ;)
Und als Anmerkung: wenn Du glaubst, die Daten auf Deinem iPhone würdest Du "sicher" mit Dir herumtragen, nur weil Du dieses hochpreisige Stück Technik in Deiner Tasche hast, dann scheinst Du von aktuellen Veröffentlichungen des Herrn Snowden noch nicht allzu viel gelesen zu haben. Und über Deinen putzigen Versuch, Dich durch Beschränkung auf WLAN abzusichern, möchte ich gar nicht weiter reden. In diesem Zusammenhang eventuell der Hinweis, dass der russische Inlandsgeheimdienst jüngst eine ganze Fuhre mechanische Schreibmaschinen in der Schweiz geordert hat - wahre Sicherheit ist (wenn überhaupt) analog... :D
 

raymond

Benutzer
Mitglied seit
10. Sep 2009
Beiträge
4.704
Punkte für Reaktionen
21
Punkte
118
Wer es sicher haben möchte stellt die NAS nicht ins Internet, so einfach ist das. Oder nutzt gleich OpenBSD und verschlüsselt richtig, dann natürlich nicht auf einer Synology.
 

die Wildsau

Benutzer
Mitglied seit
01. Feb 2011
Beiträge
248
Punkte für Reaktionen
0
Punkte
16
Ich nehme es Dir natürlich nicht übel. :)

Natürlich macht jeder Fehler. Aber wenn sich eine ausreichend große Anzahl von Personen einen Programmcode anschaut, muss einem der Fehler des anderen auffallen.
Wenn ich den Thread richtig verstanden habe, dann geht es nicht darum, dass irgendwelche Geheimdienste meine Daten einsehen können (das war mir schon klar, bevor Snowden überhaupt daran gedacht hat das Thema publik zu machen), sondern dass jeder, der Zugriff auf meine DS hat (also mein kompletter Bekanntenkreis) auch auf alle Daten zugreifen kann, wenn er sich 10 Minuten in das Thema einliest. Für mich ist es eben keine "Schwäche", wenn jeder ungewollten Zugriff auf meine Daten hat, sondern einfach nur eine riesige Sauerei. Und die Vertuschungstaktik von Synology stinkt mir auch. Das Update wird nicht auf der Herstellerwebseite erwähnt.
Jedenfalls kann ich den Fehler nicht beheben und stehe jetzt echt blöd da. Und diejenigen, die sich aufgrund meiner Empfehlung eine DS gekauft haben, werden auch nicht begeistert sein, wenn ich sie auf diesen Thread hinweise.

Ich bin zwar der "Computerprofi" im Bekanntenkreis, aber ich habe noch nie wirklich programmiert. Genau das bringe ich mir aber gerade bei, damit ich nicht mehr auf GUIs und unfähige Hersteller wie Synology angewiesen bin. Und wenn ich etwas mehr Ahnung vom Thema habe, nehme ich Deinen Tipp gerne auf und fahre zur Black Hat. :)
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Ich denke, das hat weniger mit Unfähigkeit zu tun... Sicherlich haben die einen oder anderen auch Defizite, doch im Wesentlichen vermute ich mangelnde Qualitätssicherung als Ursache. Unter dem hohen Sparzwang, der heutzutage herrscht, ist es dem Management in den meisten Unternehmen nicht klar, warum sie neben den eigentlichen Entwicklern auch noch Tester beschäftigen sollen (wobei jeder, der etwas von der Materie versteht, um den Nutzen eines echten Testens weiß).
 

raymond

Benutzer
Mitglied seit
10. Sep 2009
Beiträge
4.704
Punkte für Reaktionen
21
Punkte
118
Das NAS Betriebssystem ist mittlerweile dermaßen komplex und besteht aus etlichen Paketen (nicht nur die aus dem Paketzentrum), die irgendwie ineinander greifen müssen. Da sind Fehler und Schwachstellen vorprogrammiert. Wichtig ist nur dass der Hersteller zeitnah reagiert. Ich hätte nur den Link im ersten Threadbeitrag Synology gepostet und fertig. Da steht alles drin. Keiner kann verlangen, dass man selbst das noch nachrecherchiert und prüft und Möglichkeiten des fixen findet. Dafür werde ich jedenfalls nicht (bei Synology) bezahlt. Wenn man es extrem sicher haben möchte, setzt man nicht auf Synology.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414

raymond

Benutzer
Mitglied seit
10. Sep 2009
Beiträge
4.704
Punkte für Reaktionen
21
Punkte
118
Andere Systeme sind da auch nicht gefeit (auch nicht OpenBSD, wenn auch dort die Latte sehr, sehr viel höher liegt)... nur als Beispiel Netgear, Buffalo, QNAP
100%ige Sicherheit hat man nie, klar. Aber wenn die Latte, wie im dem Fall bei OpenBSD, sehr viel höher hängt, kann man nicht meckern. Ich hätte nie einen Vergleich mit anderen NAS Herstellern angestellt, da mir schon klar ist, dass es da ähnlich schlecht bestellt ist: es ist auch für Homeuser zum relativ günstigen Preis gedacht, da kann man kein großes Security-Team bei den Herstellern erwarten.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Im Prinzip stimme ich Dir zu. Allerdings nehmen einige der Player ja für sich in Anspruch, auch Unternehmenshardware im Portfolio zu haben - da ist dann der Anspruch durchaus gewichtig und sollte auch mit entsprechender Kompetenz und Manpower hinterlegt sein. Und was spricht dann dagegen, die Erkenntnisse und Feature aus diesen Produkten auch in denen für den gemeinen bzw. anspruchsvollen Home-User bereitzustellen (zumindest, was den Schutz gegen Verwundbarkeit angeht)?
 

raymond

Benutzer
Mitglied seit
10. Sep 2009
Beiträge
4.704
Punkte für Reaktionen
21
Punkte
118
Im Prinzip stimme ich Dir zu. Allerdings nehmen einige der Player ja für sich in Anspruch, auch Unternehmenshardware im Portfolio zu haben - da ist dann der Anspruch durchaus gewichtig und sollte auch mit entsprechender Kompetenz und Manpower hinterlegt sein. Und was spricht dann dagegen, die Erkenntnisse und Feature aus diesen Produkten auch in denen für den gemeinen bzw. anspruchsvollen Home-User bereitzustellen (zumindest, was den Schutz gegen Verwundbarkeit angeht)?
Es spricht definitiv nix dagegen. Momentan wollen die Hersteller sich jedoch von einander absetzen, indem mehr Funktionen bereitgestellt werden, als bei der Konkurrenz. Und mit mehr Funktionen sind selten zusätzliche Sicherheitsfeatures gemeint, jedenfalls auf der Softwareseite. Auf der Hardwareseite ist es problematisch (z.B. Hardwareverschlüsselungsmodul), da dies die Kosten auch schnell hochtreiben würde. Für den professionellen Bereich weniger ein Problem, für Home-User schon.

Die 2 Factor Authentication war jedoch schonmal ein guter Anfang bei Synology. Wenn dies jedoch leicht umgangen werden kann, ist das wiederrum nicht so toll.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
628
Punkte
484
Nur dass es sich beim DSM m.E. nach um eine Softwareentwicklung für den Home-User handelt, die Synology aber auch an Unternehmen verkauft. :)
 

süno42

Benutzer
Mitglied seit
29. Nov 2012
Beiträge
224
Punkte für Reaktionen
0
Punkte
0
Das NAS Betriebssystem ist mittlerweile dermaßen komplex und besteht aus etlichen Paketen (nicht nur die aus dem Paketzentrum), die irgendwie ineinander greifen müssen. Da sind Fehler und Schwachstellen vorprogrammiert.

Ne, Ne, das lasse ich nicht gelten. Das Problem ist hausgemacht. Synology schraubt einerseits sehr viel an dem Standard-Linux rum, daß vieles nicht mehr an gewohnten Stellen zu finden ist (z.B. /usr/syno/etc). Das schafft unnötige Mehrarbeit. Weiterhin, warum kein anständiges Patchmanagement? Andere Distributionen machen es doch vor. Ebenso ist ein Änderungshistorie (Changelog) Pflicht. Warum mauert Synology?

Wichtig ist nur dass der Hersteller zeitnah reagiert. Ich hätte nur den Link im ersten Threadbeitrag Synology gepostet und fertig. Da steht alles drin. Keiner kann verlangen, dass man selbst das noch nachrecherchiert und prüft und Möglichkeiten des fixen findet. Dafür werde ich jedenfalls nicht (bei Synology) bezahlt. Wenn man es extrem sicher haben möchte, setzt man nicht auf Synology.

So sieht es aus.
 

raymond

Benutzer
Mitglied seit
10. Sep 2009
Beiträge
4.704
Punkte für Reaktionen
21
Punkte
118
Alles Synology vorschlagen: http://www.synology.com/company/contact_us.php?lang=deu

Hier können wir diskutieren, wie wir wollen...es muss Synology von mehreren Usern erreichen.

Nur dass es sich beim DSM m.E. nach um eine Softwareentwicklung für den Home-User handelt, die Synology aber auch an Unternehmen verkauft. :)
Da ist Synology aber schon auf dem richtigen Weg, immer mehr Features in das Paketzentrum auszulagern. Alles was nicht unnötigerweise an ist und von wenigen genutzt wird (und nicht deaktiviert werden kann) gehört ins Paketzentrum. Ich hätte beispielsweise kein Problem die DSM Oberfläche komplett abschaltbar zu machen und nur noch über SSH/Telnet (als Backup) zu administrieren. File Station gehört m.M. auch als Paket ins Paketzentrum, genauso wie SNMP und NFS.
 
Zuletzt bearbeitet:

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Nur dass es sich beim DSM m.E. nach um eine Softwareentwicklung für den Home-User handelt, die Synology aber auch an Unternehmen verkauft. :)
Gut, das steht dann auf einem anderen Blatt. Wobei ich schon aus meiner Erfahrung heraus sagen kann, dass viele kleine und mittelständischen Unternehmen kaum mehr als so eine "hingefönte" GUI auf einem adaptierten System verkraften können - dort wird Systemadministration oftmals von Mitarbeitern nebenbei erledigt.
 

raymond

Benutzer
Mitglied seit
10. Sep 2009
Beiträge
4.704
Punkte für Reaktionen
21
Punkte
118
Gut, das steht dann auf einem anderen Blatt. Wobei ich schon aus meiner Erfahrung heraus sagen kann, dass viele kleine und mittelständischen Unternehmen kaum mehr als so eine "hingefönte" GUI auf einem adaptierten System verkraften können - dort wird Systemadministration oftmals von Mitarbeitern nebenbei erledigt.
Genau das ist das Schlimme: die bekommen noch nicht mal mit, wenn diese ausspioniert und angegriffen werden (und da meine ich nicht NSA und co). Aber dann über Wirtschaftsspionage sich wundern und Patent-Anwälte beauftragen. Aber bei wie so vielem: es wird an den Auswirkungen und nicht an den Ursachen geschraubt.
 

hopeless

Benutzer
Mitglied seit
18. Feb 2013
Beiträge
1.066
Punkte für Reaktionen
0
Punkte
56
Alles Synology vorschlagen: http://www.synology.com/company/contact_us.php?lang=deu
Hier können wir diskutieren, wie wir wollen...es muss Synology von mehreren Usern erreichen.

Dem kann ich nicht zustimmen, bei Sicherheitslücken sollte eine Meldung für das Unternehmen ausreichend sein, um sofort tätig zu werden.
Vielleicht ist man mit diesen Lücken und dem Verhalten von Synology besser bei heise aufgehoben, um darüber Druck auf Synology aufzubauen!
 

Karle

Benutzer
Mitglied seit
29. Mai 2011
Beiträge
353
Punkte für Reaktionen
9
Punkte
18
Hi!

Betrifft das dann nur die Anmeldeseite von DSM oder auch Dinge wie bspw. die Photostation oder den Mailserver?

Gruß

Karl
 

fcscholz

Benutzer
Mitglied seit
29. Aug 2013
Beiträge
131
Punkte für Reaktionen
3
Punkte
18
synology schrieb:
Dear Mr. Scholz,

Thank you to contact us and report the security issue. Regarding the vulnerabilities, the first issue has been fixed in the release last week.

For the other 3 issues in the post, these issues required login as administrator first. They are less critical and we are working on the solution now. The hot fix for this will be available in the beginning of Oct.

Hope this helps. Please don't hesitate to contact us if you have further questions.

Thanks,
Alex

meinungen dazu?

habe denen diesen Link geschickt: http://seclists.org/fulldisclosure/2013/Sep/53

Das ist doch quaaaark...?
 

raymond

Benutzer
Mitglied seit
10. Sep 2009
Beiträge
4.704
Punkte für Reaktionen
21
Punkte
118
Dem kann ich nicht zustimmen, bei Sicherheitslücken sollte eine Meldung für das Unternehmen ausreichend sein, um sofort tätig zu werden.
Vielleicht ist man mit diesen Lücken und dem Verhalten von Synology besser bei heise aufgehoben, um darüber Druck auf Synology aufzubauen!
Kommt darauf an. Deswegen gibt es Schwachstellen unterschiedlicher Wichtigkeit. Wenn eine Sicherheitslücke klein ist und verhältnismäßig viel Arbeit notwendig ist das zu fixen wird es nach hinten verschoben oder erst wenn viele Leute das bemängeln und somit wieder in der Priorität steigt.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat