Synology-System mit Virus von Werk aus? :-/

[Fischgebruell]

Einen False Positive alle paar Jahre sollte man seinem Antivirenprogramm schon erlauben. Mir machen die False Negatives eigentlich viel mehr Sorgen, die wirst aber im Log nicht finden. ;-)

Naja, als "einen" false positive kann ich es nicht bezeichnen. Das sind sehr viele Programme die direkt vom Hersteller kommen. Wenn jedes Originalprogramm als Virus erkannt wird, dann brauche ich den Virenscanner nicht.

Wenn schon für false positiv das Programm nicht gut ist........wie es ist dann bei false negativ? Bestimmt nicht besser, oder? Da mache ich mir, wie du schon schreibst, auch sorgen.

 

[b1tchnow]

Ich kann hier nicht mehr folgen?

Die Antivirenengine ClamAV, die im Linuxbereich den State-of-the-Art darstellt und auf deren Entwickung Synology nur bedingt Einfluss hat, hat eine Binary, die selbst wahrscheinlich nicht mal von Synology kommt, sondern nur mit ausgeliefert wird, fälschlicherweise als Schadsoftware erkannt. Ein Update der Virendefinition hat das Problem direkt wieder gelöst. So etwas ist mir auf allen möglichen Plattformen schon mehrfach passiert.

Habe ich etwas verpasst, oder warum wird hier von "allen möglichen Programmen" geredet?

Ihr habt mich verloren!

P. S. Die Bemerkung mit den "False Negatives" war eigentlich ein Scherz. Du wirst keinen Virenscanner finden, der eine 100% Trefferquote hat und keine Fehler macht. Wenn Dir das den Schlaf raubt, dann darfst Du keinen Server betreiben.

 

[jahlives]

wieso wird hier immer ein "false positive" angenommen? Hat irgendjemand eine Bestätigung seitens Synology gesehen, dass sie die zugrunde liegende Lücke, welche ClamAV angemotzt hat, gefixt haben?
Kann mir jemand bitte die Versionen von PHP und von libzip bei sich nennen?

 

[b1tchnow]

Es ist imho nicht die Aufgabe einer Antivirensoftware eine potentielle Sicherheitslücke in einer Software anzumäkeln.

Schon gar nicht sollten Binaries als schädlich bewertet werden, wenn eine dahinter liegende lib-Datei eine Sicherheitslücke hat. Für mich ist und bleibt das ein False Positive.

Denn direkten Zusammenhang mit dem von Dir genannten CVE und diesem Problem hier sehe ich auch noch nicht. Zumal eine aktuelle DSM-Version (5.2) PHP 5.5 verwendet, welche das Problem aus dem CVE doch schon gefixt hat?

 

[jahlives]

Zumal eine aktuelle DSM-Version (5.2) PHP 5.5 verwendet, welche das Problem aus dem CVE doch schon gefixt hat?

lies doch bitte das CVE, habs ja verlinkt und daraus zitiert
Aber nochmals:
erst ab 5.5.23 ist der 5.5-er Zweig von PHP gefixt. Bei PHP 5.6 erst ab 5.6.7

Zudem besteht das Problem ja weiterhin, solange die libzip nicht auch aktualisiert wird! Weisst du denn was alles im System die libzip anspricht?
Ob ein Virescanner dabei anschlagen soll, da kann man geteilter Meinung sein. Ich persönlich finde schon, gerade bei einer Severity von HIGH.

 

[b1tchnow]

Ob ein Virescanner dabei anschlagen soll, da kann man geteilter Meinung sein. Ich persönlich finde schon, gerade bei einer Severity von HIGH.

Nein, da gibt es keine geteilte Meinung. Ein Virenscanner soll die Ausführung von Schadsoftware verhindern und nicht die Ausführung von Software, die eine Sicherheitslücke enthält. Das sind meiner Meinung nach zwei völlig verschiedene Dinge und Deine Herangehensweise würde die Ausführung eines Systems mit einem Virenscanner höchstwahrscheinlich unmöglich machen, da Du zu fast jedem Zeitpunkt potentielle Sicherheitslücken auf einem System hast, die der Virenscanner dann pflichtgemäß aussortieren müsste.

Im aktuellen Fall könntest Du das System dann wahrscheinlich nicht mal mehr patchen, das das Systemupdate höchstwahrscheinlich gezippt daher kommt, Du aber das Update nicht entpacken kannst, da das Binary gerade in Quarantäne wäre.

Und warum sollte ich das Binary verschieben, weil die Library eine Sicherheitslücke hat?

Deine Expertise in allen Ehren, aber für mich wird aus Deiner Herangehensweise an die Thematik kein Schuh, sorry.

Du kannst mir aber gleich mal was beibringen. Gehe ich richtig in der Annahme, dass ich zum herausfinden der ganzen Versionsnummern Shellzugriff brauche? Oder sehe ich das irgendwo über die Oberfläche?

Nachtrag: Nur um das klarzustellen, ich stimme Dir vollkommen zu, das ist ein gravierendes Problem. Die Problemlösung ist aber nicht Aufgabe eines Virenscanners, sondern des Herstellers. Und den Zusammenhang zwischen dem CVE und der Meldung des Virenscanners hier sehe ich noch nicht?

Denn die libzip und php5 haben ein interger overflow Problem in bestimmten Versionen (https://security-tracker.debian.org/tracker/CVE-2015-2331) ich vermute darauf springt der Scanner an

Dieser Vermutung widerspreche ich!

 

[jahlives]

und wie soll ein Virenscanner die "Schadsoftware" erkennen, wenn sie wie in dem Fall nicht böse ist sondern einfach nur ein grosses Archiv? Da bräuchte der Virenscanner ein sehr tiefes Verständnis von der zugrunde liegenden Lücke. Oder wäre es deine Option einfach alle grossen Archive zu killen? Mit Signaturen hat man bei einer solchen Geschichte kein Chance, auch die Heuristik dürfte hier an Grenzen stossen.
Zudem sind ja die Möglichkeiten bei einem Heap Overflow sehr vielseitig. Vom Crash der Applikation, was nicht sehr tragisch wäre, bis zum Verändern von systemrelevanten Speicherbereichen ist fast alles möglich. Die Stagefright Lücke auf android war auch "nur" ein overflow oder auch die katastrophale Lücke Heartbleed

Am besten mit Shellzugriff

 

[bfpears]

@jahlives ich habe mal versucht nachzusehen welche Versionen laufen
so tief tauche ich aber selten in Linux ein, des wegen bewerte ich die Infos nicht

<?php echo phpinfo(); ?> sagt:

PHP Version 5.5.26

und weiter unten:

zip
Zip 	enabled
Extension Version 	$Id: c268059b54296d6ea21e8b1178f40a28a88f0024 $
Zip version 	1.11.0
Libzip version 	0.10.1

----
zu ZIP
Zum Vergleich: Mein LinuxMint sagt:
zip (Version 3.0-8) liegt im Ordner "bin"
libzip2 (0.10.1-1.2) liegt im Ordner "lib"

In der DS konnte ich im "/lib" Ordner keine libzip finden

gibt es sonst noch einen lib Ordner?
weiß jemand wie ich ohne ipkg die Versions Nummer rausfinde?

 

[jahlives]

5.5.26 ist gut und sollte gepatched sein, gemäss den PHP Entwicklern
Die libzip schaut aber noch alt aus gemäss CVE wäre erst 0.11.2 gefixt

 

[mexx81]

Ich habe übrigens den Sachverhalt Synology gemeldet und eine enttäuschende Antwort erhalten. Ich solle das System neu installieren. Ich weiß weder ob es sich um eine Bedrohung handelt oder um ein false positiv. Da scheinbar viele den Fehler haben, finde ich den Schritt der Neuinstallation auch übertrieben. Das sollte doch auch anders zu beheben sein.

 

[bfpears]

Quelle: https://security-tracker.debian.org/tracker/CVE-2015-2331
ich lese das so das auch 0.10.1-1.1 gefixed ist (Debian stable)
und die 0.11 für Debian (stretch, sid, jessie) (also unstable, testing)
in der PHP Info Ausgabe fehlen leider die "Nachkommastellen"

Nachtrag: Versions Infos von der "zip" gefunden

zip --help
Copyright (c) 1990-2008 Info-ZIP - Type 'zip "-L"' for software license.
Zip 3.0 (July 5th 2008).

 

[b1tchnow]

@jahlives: Ich glaube, wir reden aneinander vorbei und es bringt das Thema hier ja auch nicht weiter.

Ich sehe das Prollem für mich hiermit und nach Prüfung der Versionen erst mal als erledigt an.

 

[jahlives]

@bfpears
Debian hat dann wohl die Fixes rückportiert. Das gilt dann aber nur für Debian und nicht für andere Maintainer. Debian portiert viele Fixes für ältere Versionen.
Als Referenz in diesem Fall würde ich https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2331 angucken

 

[MMD*]

zip files stehen online:
ftp://on-line:online_user@ftp.synology.com/on-line/DSM5.2/ZIP/

 

[mexx81]

Ich muss jetzt mal ganz doof fragen: Was soll ich damit jetzt machen?

 

[MMD*]

Fur den fall die zip geloscht wurde nehm ich an...

 

[b1tchnow]

Ich muss jetzt mal ganz doof fragen: Was soll ich damit jetzt machen?

Das kommt darauf an, wie Du mit der Meldung und dem (wie ich immer noch behaupte versehentlichen!) Verschieben der zip-Binary in die Quarantäne durch das Antivirusprogramm von Synology umgegangen bist. Wenn Du die in Quarantäne verschobene Datei gelöscht hast, dann hast Du ein Problem, da Du nicht mehr ohne weiteres Dateien mit zip entpacken kannst.
Für diese Leute hat Synology die zip-Binary jetzt separat bereitgestellt, damit diese sie wieder an ihrem ursprünglichen Platz ablegen können.
Alternativ kannst Du die Datei aus der Quarantäne wieder herstellen. Davor solltest Du eine Aktualisierung des Virenkatalogs des Antivirenprogramms der Synology durchführen, sonst wird die Datei mglw. direkt wieder verschoben.

 

[stefan033]

Hallo liebes Forum,

bin leider auch von diesem Problem betroffen und die Datei ist-wurde gelöscht.
Was wäre jetzt die einfachste Möglichkeit um wieder alles in Ordnung zu bringen.
Lt. Synology Support muss ich neu aufsetzten was ja nicht so schlimm wäre nur funktioniert leider die Konfiguration Sicherung nicht - vielleicht durch die fehlende dabei??
Bin in der Hoffnung es könnte mir jemand von euch weiterhelfen.

Lg Stefan

 

[MMD*]

Viren update machen.
Die datei namens zip herunterladen fur dein model, sehe oben den link.
Die datei rechte 0755, dan neustart und fertig.

 

[stefan033]

Vielen dank für deine Antwort,
kann die Datei nicht downloaden, es wir ein Nutzername und ein Passwort verlangt.
Die Datei rechte 0755 was meinst du damit?
Habe von Linux keinen plan, bräuchte es bitte genauer.
Oder gibt es irgendwo eine Beschreibung für so etwas.

Lg