DSM 7.1 ✋ Synology warnt vor Sicherheitslücke im DSM vom 09.01.2024

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
14.044
Punkte für Reaktionen
6.054
Punkte
569
Linux DS920plus 4.4.302+ #69057 SMP Mon Nov 13 14:19:30 CST 2023 x86_64 GNU/Linux synology_geminilake_920+
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Jo, so sieht es auf der 720+ auch aus und anscheinend auch auf der 23er Modellen, was echt ein Armutszegnis ist
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
14.044
Punkte für Reaktionen
6.054
Punkte
569
Das ist allerdings etwas traurig.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Solange keine weiteren Infos zu der Lücke bekannt gegeben werden, bin ich noch relativ wenig alarmiert.
Ich fahre noch einen DSM 6.2 auf einer DS415+ und würde auch derzeit nicht auf DSM 7.x wechseln wollen.

Wenn man ein böser Schelm wäre, dann könnte man auch denken, Synology nutzt das neue Jahr, um die Verkaufszahlen mit einer ganz ausgefuchsten Sales-Strategie anzukurbeln, und, um sich vom pflegebedürftigen DSM 6.x und allem darunter endlich mal zu verabschieden.
Wer weiß schon wirklich, wie schwerwiegend die Lücke ist.
Ich empfinde es jedenfalls als auffällig, dass Synology als einzigen Patch, das "Update auf DSM 7.2" anbietet. So kenne ich das gar nicht. Bisher haben sie bei - mindestens relevanten - Themen immer auch noch DSM 6.x mit entsprechenden Updates versorgt. Ihnen sollte klar sein, dass eine nicht geringe Zahl dieses Update auf ihrer derzeitig genutzten Maschine gar nicht durchführen können.
:cool:
 
Zuletzt bearbeitet:
  • Like
Reaktionen: ottosykora und Benie

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Für schnelle Abhilfe sorgt ein Update auf die neueste Version des DSM.
Steht irgendwo, dass ein Patch der älteren Systeme NICHT kommt weil sich hier alle aufregen?

Was für ein Aufriss und bestimmt die Hälfte der Nutzer hat einen Router am Internet hängen, dessen BIOS vom Hersteller schon seit Jahren nicht mehr gefixt wird und Sicherheitslücken ohne Ende mit sich schleppt.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Für schnelle Abhilfe sorgt ein Update auf die neueste Version des DSM.
Witzbold! Und sachlich falsch, denn nur ein Update auf eine DSM Version >= 7.2-64561 sorgt für Abhilfe. Das können viele aber aufgrund des Alters der DS gar nicht mehr beziehen.

Steht irgendwo, dass ein Patch der älteren Systeme NICHT kommt

Steht denn irgendwo, dass noch etwas kommt?
 

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
5.069
Punkte für Reaktionen
2.263
Punkte
259
Hauptsache Presse ist gesättigt.
Und man kann so tun als wenn man alles im Griff hat und selbstverständlich Sicherheitslücken fixt. :ROFLMAO:

Wenn ich als Hersteller eine Info veröffentliche das und wie eine Sicherheitslücke gefixt wurde und dann schreibe das Kunden mit DSM 6.2 und 7.1 in dem Fall die DSM Version 7.2-64561 oder neuer installieren sollen

DS_Update.png

dann habe ich als Hersteller diese Version auch bitteschön den Kunden zur Verfügung zu stellen. Alles andere ist bzw. wäre eher ein schlechter Scherz.

Also erwarte ich jetzt bei meiner DS215j mit aktuell DSM Version: 7.1.1-42962 Update 6 auch ein Update auf DSM 7.2-64561. Wenn das nicht kommt wäre die Info von Synology bzgl. der Sicherheitslücke schlicht und einfach falsch und bzgl. dem Posting von @NSFH: Zumindest mich interessiert in dem Zusammenhang nicht was andere Hersteller machen oder ggf. auch nicht. Ebenso interessiert mich nicht welche Sicherheitslücken andere User ggf. haben oder ggf. auch nicht. Ich weiß zwar was Du damit zum Ausdruck bringen willst/möchtest, :) aber das ist m.M.n. hiermit nicht zu vergleichen. Wenn ich als Hersteller schreibe der Kunde soll einfach ein Update mache, dieses dann aber dem Kunden nicht zur Verfügung stelle, dann läuft da wohl etwas schief.

VG Jim
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.962
Punkte für Reaktionen
3.801
Punkte
344
Wenn man ein böser Schelm wäre, dann könnte man auch denken, Synology nutzt das neue Jahr........
Gar kein so schlechter bzw. am Ende weit hergeholter Gedanke, würde aktuell gut zu allem dazu passen.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.133
Punkte für Reaktionen
2.092
Punkte
259
Sachlich ist für mich die Frage, ob die älteren DSM Versionen gefixt werden können. Hängt es mit dem Kernel zusammen, könnte es schwierig werden.

Faktisch sind die hier immer wieder genannten Gerätegenerationen xx15 halt so alt, dass sie wohl kaum noch professionell genutzt werden.

Der Heimanwender muss halt „nur“ sein Netzwerk abschotten, und lebt ohne Patch weiter. Vielleicht erfahren wir ja noch, wie der Angriffsvektor genau aussieht. Dann lässt es sich noch besser eingrenzen.
 
  • Like
Reaktionen: maxblank und Benie

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.962
Punkte für Reaktionen
3.801
Punkte
344
Faktisch sind die hier immer wieder genannten Gerätegenerationen xx15 halt so alt, dass sie wohl kaum noch professionell genutzt werden.
Dessen ist sich Synology bestimmt sehr bewußt, die Verwendung nur noch als Backup DS, ist ja auch schon in diversen Antworten vom Service so angesprochen worden.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Faktisch sind die hier immer wieder genannten Gerätegenerationen xx15 halt so alt, dass sie wohl kaum noch professionell genutzt werden.
Also, viele haben das Update auf DSM 7.1 noch erhalten oder könnten es erhalten (so wie meine 415+), zu DSM 7.2 ist es dann kein Major Release und sicher auch keine Einschränkung des Kernels in dem Fall. Die Einschränkung ist rein aus vertriebstechnischer Sicht zu erklären. Das war in der Vergangenheit auch schon so. Es gibt schließlich genügend Beispiele, wo auf ältere DSen noch neuere DSM Versionen mittels "Tricks" installiert wurden. Technisch ist das möglich.
Und ob eine DS nun professionell oder privat genutzt wird (die Grenze ist zudem fließend), spielt doch hier gar keine Rolle. Die Geräte werden schließlich im Bereich Privat-, SoHo und größere Unternehmen konzipiert und verkauft.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.133
Punkte für Reaktionen
2.092
Punkte
259
Nur ist eine DS der Generation xx15 in jedem Unternehmen bereits abgeschrieben und „hat ihr Geld verdient“. Das und die extrem viel höheren Kosten mit alter Hardware dürften im gewerblichen Bereich früher zu einem Ersatz führen.

Wir müssen mal abwarten, was noch an Informationen verfügbar wird. Aktuell wissen wir, dass ein lokaler Benutzer Schadcode ausführen kann. Nun ja …
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Witzbold! Und sachlich falsch, denn nur ein Update auf eine DSM Version >= 7.2-64561 sorgt für Abhilfe. Das können viele aber aufgrund des Alters der DS gar nicht mehr beziehen.



Steht denn irgendwo, dass noch etwas kommt?
Schade, dass du nicht in der Lage bist zwei zusammenhängende Sätze zu lesen UND zu verstehen.
 

RT17

Benutzer
Mitglied seit
26. Jan 2017
Beiträge
72
Punkte für Reaktionen
9
Punkte
8
Es folgt ein überraschende Antwort des Synology-Supports:

"Die für Ihr Gerätemodell maximal kompatible Update-Version ist die DSM-Version 7.1.1-42962 Update 6. Wenn Sie diese Version haben, muss das Problem für die Gerätegruppe behoben worden sein. Obwohl das Gerätemodell-DS3615xs nicht mehr hergestellt wird, hat das NAS weiterhin Anspruch auf Sicherheitsupdates.

Es ist kein Patch erforderlich, wenn Ihr DSM für das Gerätemodell auf dem neuesten Stand ist.

Die erwähnte DSM-Schwachstelle Synology-SA-24:01 wurde in der betroffenen DSM-Version behoben. Um die Stabilität der Software zu gewährleisten und die Auswirkungen zu minimieren, haben wir die Schwachstelle direkt behoben, anstatt die zugrunde liegende Software auf die neueste Version zu aktualisieren. Die meisten Schwachstellenscanner melden möglicherweise Fehlalarme, wenn sie nur nach der Version der zugrunde liegenden Software suchen. Seien Sie jedoch versichert, dass diese Schwachstellen bereits behoben sind."
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.533
Punkte für Reaktionen
1.361
Punkte
194
Das ist schon mal schön.

Aber dann hat Synology die Sicherheitsmeldund ungünstig beschrieben.,
Denn da steht ja das nur ein Update auf 7.2.xxx hilft
 
  • Like
Reaktionen: RT17 und dil88

Kachelkaiser

Benutzer
Sehr erfahren
Mitglied seit
22. Feb 2018
Beiträge
2.180
Punkte für Reaktionen
907
Punkte
154
ja irgendwie klingt das komisch für mich. Laut Webseite hilft nur ein Update zu 7.2, aber nicht für Maschinen, die offiziell nicht auf 7.2 gehen könne, weil da ist ja alles gut.....:unsure:
 

Monacum

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
03. Jan 2022
Beiträge
2.216
Punkte für Reaktionen
1.035
Punkte
224
Das klingt schon merkwürdig. Auf der anderen Seite: Hätte Synology dazu geraten, auf 7.1.x zu updaten, wäre die Frage gewesen, warum nicht direkt auf 7.2.x … Am einfachsten wäre ein differenzierterer Beitrag oder ein neuer Eintrag in der Knowledge Base, welches Modell wegen der Sicherheitsbedenken auf welche Version geupdatet werden sollte.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Nur ist eine DS der Generation xx15 in jedem Unternehmen bereits abgeschrieben und „hat ihr Geld verdient“. Das und die extrem viel höheren Kosten mit alter Hardware dürften im gewerblichen Bereich früher zu einem Ersatz führen.
Das mag ja sein, aber mich persönlich interessiert der gewerbliche Einsatz nicht. Wie bei sehr vielen anderen Nutzern hier wird meine DS rein privat genutzt, da wird keine Hardware abgeschrieben.
Insofern ist die Informationslage gerade mehr als dürftig. Mich wird der Zustand nun sicher nicht dazu bewegen, mir deswegen neue Hardware zu kaufen - zumindest keine von Synology. Die Informationspolitik ist einfach dürftig und widersprüchlich. @Jim_OS hat es hier schon sehr gut beschrieben.
Und solange ich überhaupt nicht einschätzen kann, wie die Sicherheitslücke sich nun genau gestaltet, so lange kann ich ohnehin keine Entscheidung auf einer soliden Grundlage treffen.
 
  • Like
Reaktionen: RT17

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.533
Punkte für Reaktionen
1.361
Punkte
194
also wenn ein Gerät 9 Jahre alt ist . noch mit Sicherheitsupdates vom HErsteller versorgt wird, dann ist das schon recht selten in der IT.

Aber ich stimme dir zu es gibt viele einfache nutzer die lassen die Büchsen laufen bis sie auseinanderfall.

Bis vor einigen Jahren war das auch möglich.
Aber die lage hat sich in den letzten Jahren Massiv geändert.

Ich selbst sehe auch ein gerät aus 2015 als abgeschrieben an . auch Privat.

Schlimmer ist es meiner Meinung nach das Synology da nicht konkret schreibt welche Systeme betroffen sind und welche nicht.
Das ist relativ Nebulös.
 
  • Like
Reaktionen: Synchrotron


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat