Synology DiskStation Manager (DSM) 4.3-3776 - Multiple Vulnerabilities

[fcscholz]

Kommt darauf an.

Druck aufbauen
Dringlichkeit zeigen
...
VIEL HILFT VIEL

 

[hopeless]

Wenn eine Sicherheitslücke klein ist und verhältnismäßig viel Arbeit notwendig ist das zu fixen wird es nach hinten verschoben oder erst wenn viele Leute das bemängeln und somit wieder in der Priorität steigt.

Ich halte eine Lücke in der meine DS an jeden der möchte, einen Admin Usernamen plus seinen Mail- Adressen und dem (zwar verschlüsseltem) Passwort ausliefert, nicht für klein.

 

[raymond]

Ich halte eine Lücke in der meine DS an jeden der möchte, einen Admin Usernamen plus seinen Mail- Adressen und dem (zwar verschlüsseltem) Passwort ausliefert, nicht für klein.

Das wird sicherlich Synology genauso sehen und es schnell fixen. Was ich geschrieben habe, war genereller Natur.

 

[fcscholz]

Dear Mr. Scholz,

May I know the version of your DSM? Would you please provide me the screenshot of the DSM version page? And screenshot of how you reproduce the problem.

The information I got is that first issue is fixed in the DSM 4.3-3776-1. Other 3 issues are not fixed yet and are scheduled to be fixed in the beginning of Oct. If the firsts issue (Remote file download) is still a problem in your DS, please provide me more information to check.

Thanks,
Alex

Soso, also im Oktober...

 

[whitbread]

Also ich von dem Thema auch "not amused"

Kann hier mal einer erklären, was nun die geeigneten Sofortmassnahmen sind für diejenigen, die das Thema nicht so richtig durchblicken?!?

Ich habe inzwischen eine separate DS für den Webserver, auf dem auch meine Backups liegen und eine für die Daten, die nur mehr per VPN erreichbar ist.

 

[Frogman]

Na, so richtig sicher sind dann aber Deine Backup-Daten nicht, wenn dort der Webserver offen ist. Wenn die auf 'ner separaten internen Platte liegen, kannst Du die ja solange ausbauen, bis ein Patch da ist... VPN über einen guten Router ist aber sicherlich immer ein guter Ansatz.

 

[fcscholz]

Thank you for your email. I have received a new information that we will release an update this week to fix all these issues. We all agree security is very important and we will act as soon as possible.

Hope this helps.

Das lässt doch hoffen!

Wenn DU weder die 5000 noch die 5001 von außen (auch via umleitung) ansprechbar hast, und auch kein Video-Audio-Player per Port/ extra URL von außern zugänglich machst, sollte es recht sicher sein; behaupte ich mal. Ich kann die Exploits von AUSSEN nicht nachstellen (aus dem LAN aber schon *fuck*)

LG

F

 

[whitbread]

OK Danke für den Hinweis: Habe alle wichtigen Daten mittels Synology verschlüsselt. Diese liegen somit im Normalbetrieb entschlüsselt auf der 2. DS vor, werden aber beim Backup verschlüsselt gesichert, wenn ich das richtig verstanden habe und liegen dann auch nur verschlüsselt auf der "offenen" DS. Korrekt?

 

[fcscholz]

Geiler Support:

Hi,

Thank you for your inquiry.

According to our developers, this a known issue that they are working hard to address in a future DSM release.
Please kindly stay tuned for the update, and in the meantime, we apologize for any inconvenience caused.

Thank you for your understanding.


Sincerely,
XXXX YYY



For more tips and possible solutions to your issue, please visit:

Synology Tutorials:
http://www.synology.com/support/knowledge_base.php?lang=enu

Synology FAQ:
http://www.synology.com/support/faq_all.php

Synology Wiki:
http://forum.synology.com/wiki/index.php/Home

Synology Forum
http://forum.synology.com

You can stay up-to-date on the latest Synology news by subscribing to our eNews at:
http://www.synology.com/support/register.php

Lustig!

 

[Matthieu]

Geiler Support:

Lustig!

Was hast du denn anderes erwartet als "wir arbeiten dran"?!

MfG Matthieu

 

[fcscholz]

Was hast du denn anderes erwartet als "wir arbeiten dran"?!

Ratschläge zur "Sofortmaßnahme"? Nicht mal ein Hinweis kommt "Sofort vom Netz". Man könnte darlegen, welche Port/Services unkritisch sind oder es zumindest nach heutigem Kenntnisstand scheinen... in der Art!

 

[Matthieu]

Ratschläge zur "Sofortmaßnahme"? Nicht mal ein Hinweis kommt "Sofort vom Netz". Man könnte darlegen, welche Port/Services unkritisch sind oder es zumindest nach heutigem Kenntnisstand scheinen... in der Art!

Sowas gehört in meinen Augen in ein "Security Advisory" oder ähnliches und nicht in eine Support Mail. Da das der erste Vorfall dieser Größenordnung für Synology ist, bleibt jetzt abzuwarten was sich ändert.

MfG Matthieu

 

[fcscholz]

Moin Matthieu,

Sowas gehört in meinen Augen in ein "Security Advisory" oder ähnliches

Das sehe ich GENAU so

nicht in eine Support Mail.

DOCH, auch, zusätzlich! Verlinkt... support = unterstützung.. von daher ;-)

Da das der erste Vorfall dieser Größenordnung für Synology ist, bleibt jetzt abzuwarten was sich ändert.

Stimmt, so formuliert klingt doch positiver ;-)

GLGL

Florian

 

[fcscholz]

Hallo allerseits,

heute kam eine Mail inkl. Patch für die Synology Das schlimmste ist behoben (das mit den Sys-Infos). Allerdings "funktionieren" die Links noch, will heißen ein potentieller Angreifer könnte so Rückschlüsse auf die DS ziehen, oder?

Jedenfalls ist es jetzt sicher, was Passwörter etc. angeht!

LG

Florian

 

[dan-syn]

Das Ding macht ja echt die Runde. Gebt mal

Synology DiskStation Manager (DSM) 4.3-3776 - Multiple Vulnerabilities

bei Google ein.
Hab' ne Mail mit Link auf diesen Forum-Artikel an die c't-Redaktion geschickt, weil in der c't-Netzwerke-Ausgabe 2013 ein NAS-Vergleich war, an dem auch Synology besprochen wurde (und der meine Bestellung der DS112+ nicht unwesentlich beeinflusst hat)
Gruss
dan-syn

 

[die Wildsau]

Ich habe jetzt mal meinen Händler angeschrieben, die Probleme (die Sicherheitslücke ist ja nur eines von vielen) geschildert und um Rücknahme meiner DS412+ gebeten. Wenn der das NAS nicht zurück nimmt, findet ihr es demnächst in einer Onlineauktion. Die beiden Lüfter von Noctua und die 8GB RAM von Hynix lasse ich drin

EDIT: Es ist kein Problem die DS zurück zu geben, wenn man sie nicht länger als 12 Monate hat. Aufgrund der diversen Probleme sind viele DSsen nicht so nutzbar, wie vorgesehen (wenn man ehrlich ist). Eigentlich kann der Händler 3x nachbessern, aber da keine Lösung in Sicht ist (Synology hat ja sogar den 2. Patch vergeigt), kann ich die DS schon jetzt zurück geben und bekomme mein Geld vollständig zurück.

 

[MoritzDorn]

Als wären andere Hersteller nicht auch mit den Problemen konfrontiert

Aber mal so rein aus Neugierde, wie kann man in eine 412+ 8 GB RAM einbauen, die CPU macht doch nur 4 GB mit?

 

[die Wildsau]

Du hast Recht. Es sind/waren nur 4GB drin. Hatte so viel RAM bestellt, dass ich vergessen hatte, "wer" wieviel hat

Natürlich haben andere Hersteller auch Probleme. Keine Frage. Es kommt aber darauf an, wie kritisch sie sind und vor allem wie sie gelöst werden.
QNAP hält sich zur Zeit laut Fachpresse ja auch ein Trauerspiel ab. Würde ich mir auch nicht kaufen.
Im Momet sieht es so aus, dass ich meinen MacMini zum Server umbauen werde und da drüber meine Dateien verwalte.

Ich bringe mir derzeit das Programmieren bei. Wenn ich da halbwegs durchblicke, bastel ich mir meinen eigenen Dateiserver mit einem Raspberry Pi oder einem Konkurrenzprodukt.

 

[Frogman]

...Aufgrund der diversen Probleme sind viele DSsen nicht so nutzbar, wie vorgesehen (wenn man ehrlich ist). ....

Naja, das ist immer auch eine Frage dessen, was "man" so vorgesehen hat... - und wenn ich da so lese, warum manch einer sich ein NAS kauft... nun ja, da täte ein wenig mehr Information vor dem Kauf schon gut.
Und vielleicht solltest Du hier Deine Kritik etwas fundierter/detaillierter äußern. Das Thema "erweiterter Systemruhezustand" einmal außen vor gelassen - was konkret meinst Du mit "divers"?

 

[fpo4711]

Im Momet sieht es so aus, dass ich meinen MacMini zum Server umbauen werde und da drüber meine Dateien verwalte.

OS-X Server ! Du wirst dich noch nach einer DS zurücksehnen und Raspberry als NAS ist wohl auch der Knaller.

Gruß Frank