DSM 7.1 ✋ Synology warnt vor Sicherheitslücke im DSM vom 09.01.2024

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
5.069
Punkte für Reaktionen
2.263
Punkte
259
Moin,

weder das Alter einer DS, noch ob sie privat oder geschäftlich genutzt wird und/oder ob sie ggf. bereits abgeschrieben ist und/oder was andere Hersteller machen, spielt keine Rolle.

Es gibt eine Sicherheitslücke. Der Hersteller schreibt ich soll ein "Upgrade to 7.2-64561 or above." machen. Dann sollte/muss er dieses Update mir auch zur Verfügung stellen. So einfach ist das.

Bzgl. dem was @RT17 da als Antwort von Synology bekommen hat bin ich mir nicht sicher ob der Schreibende überhaupt verstanden hat was er dann dort schreibt und/oder was das vermutlich genutze Übersetzungsprogramm daraus gemacht hat. :ROFLMAO: Ich weiß zwar nicht was und wie @RT17 da bei Synology nachgefragt hat, aber eine konkrete und deutliche Antwort von Synology hätte einfach lauten müssen: Die Sicherheitslücke wurde mit der DSM-Version 7.1.1-42962 Update 6 bereits geschlossen. Auch hier wieder: So einfach könnte es sein.

Falls die Sicherheitslücke bereits mit dem 7.1.1-42962 Update 6 geschlossen wurde - was ich pers. nicht glaube - dann ist die diesbezügliche Info auf der Synology Webseite "Upgrade to 7.2-64561 or above." schlichtweg falsch.

VG Jim
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.533
Punkte für Reaktionen
1.363
Punkte
194
Das alter Spielt schon eine rolle.
Irgendwann muss ein HErsteller ja Geräte aus dem Support nehmen .

Wie lang soll denn da Updates bereitgestellt werden ?
 

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
5.069
Punkte für Reaktionen
2.263
Punkte
259
Wieso das steht doch auf der Webseite zu der Sicherheitslücke:

DSM 7.2 Important Upgrade to 7.2-64561 or above.
DSM 7.1 Important Upgrade to 7.2-64561 or above.
DSM 6.2 Important Upgrade to 7.2-64561 or above.

Sollte es da weitere Einschränkungen geben, also das bestimmte DS-Modelle mit einer DSM 6.2, 7.1, oder 7.2 Version kein Upgrade mehr machen können, weil sie z.B. zu alt und somit nicht mehr unterstützt werden, dann sollte Synology das auf der Webseite mit angeben. Das haben sie sonst bei Updates und Upgrades ja auch gemacht, bzw. machen es eigentlich.

Wenn dort aber keinerlei Einschränkungen genannt werden und Synology jetzt sogar noch schreibt das die Sicherheitslücke mit 7.1.1-42962 Update 6 angeblich nicht mehr besteht, dann kann/muss ein Kunde davon ausgehen das die Sicherheitslücke entweder mit DSM 7.1.1-42962 Update 6 nicht mehr besteht, oder das es noch ein Update auf die Version "7.2-64561 or above" geben wird, sofern auf seiner DS DSM 6.2, 7.1, oder 7.2 läuft.


Edit: Außerdem steht auf der Webseite ja auch: "Status Resolved" Was dann auch bedeuten muss das die Sicherheitslücke bei der DSM 6.2, 7.1 und 7.2 Version geschlossen wurde, bzw. mit "Upgrade to 7.2-64561 or above" geschlossen werden kann. D.h. wenn dem nicht so ist/wäre ist das eine falsche Info seitens Synology.

VG Jim
 
Zuletzt bearbeitet:
  • Like
Reaktionen: ctrlaltdelete

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.963
Punkte für Reaktionen
3.801
Punkte
344
Ich will hier gegen alles gesagte nicht dagegen reden.
Bin auch der Meinung, Synology äußert sich hierzu nur wischiwaschi.
Und richtig ist das alles nicht wie es läuft. Sicherheits Updates müssen für den zugesagten Zeitraum zur Verfügung gestellt werden.

Aber, insgesamt ist doch überall ein Rückgang des Supports zu beobachten.
Ganz vorne dran Microsoft und Windows, Gekaufte Software wird zum Aboangebot und kann aus Support Gründen nicht mehr verwendet werden. Apps verschwinden einfach in den Shops.
Android Handys, zumindestens die etwas älteren, nach 3 Jahren ist der Support, auch mit Sicherheits Updates zu Ende.
(Es gibt natürlich auch Ausnahmen, wo der Support noch länger anhält.)
Es wird jedenfalls alles nicht besser.
 
  • Like
Reaktionen: ctrlaltdelete

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Anscheinend arbeiten Sie nun an einer Lösung auch für DSM 6.2:

1704968682524.png
Link

EOL für DSM 6.2 ist auch erst im Oktober 2024.
Wenn das Argument aber dann wäre: "der Fix für DSM 6.2 ist DSM 7.2", dann wäre das schon eine starke Nummer.
Aber scheint ja erstmal doch noch nicht so zu sein.
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.963
Punkte für Reaktionen
3.801
Punkte
344
Vielleicht war das mit 7.2... ein unüberlegter schneller Ansatz und dann erst hat man zu denken angefangen :ROFLMAO:
 
  • Haha
Reaktionen: dil88 und Jim_OS

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.896
Punkte für Reaktionen
1.517
Punkte
274
Bei mir sieht das aber auf dem von @Jim_OS genannten Link anders aus:

Bildschirmfoto 2024-01-11 um 11.31.49.png
 

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
5.069
Punkte für Reaktionen
2.263
Punkte
259

synfor

Benutzer
Sehr erfahren
Mitglied seit
22. Dez 2017
Beiträge
9.160
Punkte für Reaktionen
1.652
Punkte
308
Browser-Cache löschen hilft nicht, der Parameter am Ende der URL bei deinem Link aber schon.

Bei mir ist Last Updated: 2024-01-11 12:05:07 UTC+8
 
  • Like
Reaktionen: Jim_OS

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
5.069
Punkte für Reaktionen
2.263
Punkte
259
Stimmt also jetzt den Link von @Puppetmaster mit den Parametern benutzen. :) Ich hatte den Link von @Puppetmaster direkt per Chrome aufgerufen, sodass das dann funktioniert hat und arbeite sonst und auch jetzt mit Firefox. Wenn ich den Link von @Puppetmaster jetzt wieder per Firefox aufrufe wird wieder nur der alte Link ohne Parameter geladen. Trotz des löschens vom Cache und der Chronik bei Firefox. Das dürfte bei mir wohl an den installierten Addons (z.B. uBlock Origin und/oder NoScript) für Firefox liegen. :)

DS_SA-24:01 DSM.png

VG Jim
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.896
Punkte für Reaktionen
1.517
Punkte
274
Bei mir auch - nur über den Link von Puppet komme ich auf die von Euch geschilderte aktuelle Seite, wenn ich aber in die Übersicht aller gemeldeten Probleme gehe und von dort wieder auf den neuesten Fall, so habe ich wieder nur den Stand vom 09.01.
 

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
5.069
Punkte für Reaktionen
2.263
Punkte
259
Jepp ist bei mir auch so. Egal welcher Browser. :) Die Synology Product Security Advisory Übersichtsseite führt - Stand jetzt - weiterhin zu dem Link ohne den zusätzlichen Parameter. Die Seite bzw. URL dort dürfte wohl noch nicht aktualisiert worden sein. Wo auch immer @Puppetmaster den Link her hat, bzw. darauf gekommen ist, :) denn sowohl bei der Global EN-Seite https://www.synology.com/en-global/security/advisory als auch bei der DE-Seite https://www.synology.com/de-de/security/advisory?page=1 führt der Link von der Übersichtsseite immer zu https://www.synology.com/de-de/security/advisory/Synology_SA_24_01 ohne die Parameter.

Aber im Grund genommen ist es ja auch egal. Wichtig ist das Synology aufgewacht ist und festgestellt hat das sie wohl einen Fehler gemacht habe. ;)

BTW: Soviel zu dem Thema bzw. der Antwort die @RT17 von Synology bekommen hat. :ROFLMAO:

VG Jim
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Ja-haa, den Link habe ich geschickt geraten. :cool:

Nein, ernsthaft, den findest du, wenn du dir die Kommentare zum gleichen Themen-Artikel bei heise durchliest.
Warum man den über die offizielle Seite von Synology selbst anscheinend nicht erreichen kann, kann ich nicht erklären und finde es ebenso merkwürdig, wie so einiges andere.
 

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
5.069
Punkte für Reaktionen
2.263
Punkte
259
Komm gib's zu Du hast eine magische und auch funktionierende Glaskugel. Auch haben will. :LOL:

VG Jim
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.133
Punkte für Reaktionen
2.092
Punkte
259
Ist doch alles ganz einfach: Es gibt bekanntlich User, die eine DS, die man updaten könnte, nicht auf dem neuesten Stand halten. Also patcht man zuerst das aktuelle OS, und fordert alle, die eine schnelle Lösung brauchen, zum Patch/Update auf.

Dann zieht man die anderen nach.

So sieht das für mich aus, nur die Kommunikation dürfte gerne deutlich konkreter ausfallen. Erstens darin was überhaupt der Angriffsvektor ist, und zweitens in der Ansage DSM x.x.x ist noch in Arbeit, Patch folgt.
 
  • Like
Reaktionen: Benie und *kw*

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.896
Punkte für Reaktionen
1.517
Punkte
274
Diesen Wunsch nach Information habe ich bei Synology damals bei dem Bug meiner DS1515+ Geräte aufgegeben. Die Schweigen lieber als konstruktiv oder gar proaktiv zu informieren. Passt zu meinen geschäftlichen Erfahrungen mit vielen Asiaten.
 
  • Like
Reaktionen: Synchrotron und dil88

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.383
Punkte
174
Diesen Wunsch nach Information habe ich bei Synology damals...aufgegeben.
Ging mir nach dem Thema "Zertifikat & Apple" genauso und habe meinen Account dort gelöscht.

Bin dann doch froh, dass die Community die Kartoffeln aus dem Feuer holt und "eine gescheite Mahlzeit serviert". (y)
 

RT17

Benutzer
Mitglied seit
26. Jan 2017
Beiträge
72
Punkte für Reaktionen
9
Punkte
8
Also "Ongoing" heißt, es kommt für DSM 7.1 ein Update. Das ist erstaunlich, denn meine Antwort vom Synology-Support, die ich hier gepostet hat, sagte ja, alles OK, keine Sorge. Und ich muss ergänzen, dass ich da zwei Antworten zusammenkopiert habe. Ich hatte nämlich extra noch das nachgefragt:

Ja, aber auf der Synology-Seite zu dieser Sicherheitswarnung steht, man muss DSM 7.1 auf 7.2-64561 updaten, um die Sicherheitslücke zu schließen.
Also ist meine DS3615xs derzeit nicht sicher!
Wie soll das weitergehen? Kommt da ein 7.2-64561 für mein Gerät?


Und dann kam die Antwort:

Es ist kein Patch erforderlich, wenn Ihr DSM für das Gerätemodell auf dem neuesten Stand ist.

Aber egal, wenn jetzt ein Patch "ongoing" kommt, kann man Synology ja wieder neuen Kunden ohne schlechtes Gewissen empfehlen!
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Wenn mich jemand fragt, rate ich seit einiger Zeit von Synology ab und das bleibt auch so. Die Kommunikation ist unter aller Sau. Es gibt keine Kernel Updates. Auf die Synology Apps kann man sich nicht wirklich verlassen. Note Station für Android hat seit Jahren kein Update bekommen. Apps werden einfach eingestellt oder ersetzt. Die Pakete werden ebenfalls nicht gepflegt. Siehe Docker. Da kommt ja erst mit der neuen Version eine aktuelle Engine. Aber viele ältere Geräte bekommen diese ja gar nicht. Und da hat man eine Engine die EOL ist.
Und wegen dem Patch. Vielleicht sollten die sich mal intern einigen was sie kommunizieren und was nicht. Man weiß jetzt eigentlich nicht wie der Status wirklich ist....
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Da bin ich grundsätzlich bei @alexhell
Wenn man erst kommuniziert, dass man ein Update braucht und dann sagt man, dass man es doch nicht braucht, klingt es so, als wolle sich da nur jemand rausreden.
Ich muss aber dennoch sagen, dass für die meisten einfachen Fälle (insbesondere wenn jemand kein Docker nutzt), ein Synology NAS dennoch unter allen Alternativen die beste Wahl ist (in Sachen Fertiglösung). Wenn jemand aber Bock hat, was Gescheites aufzusetzen, was ähnlich kompakt ist, empfehle ich ein TerraMaster NAS mit nachinstalliertem TrueNAS Scale.
 
  • Like
Reaktionen: Monacum


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat