DSM 7.1 ✋ Synology warnt vor Sicherheitslücke im DSM vom 09.01.2024

[Jim_OS]

Moin,

weder das Alter einer DS, noch ob sie privat oder geschäftlich genutzt wird und/oder ob sie ggf. bereits abgeschrieben ist und/oder was andere Hersteller machen, spielt keine Rolle.

Es gibt eine Sicherheitslücke. Der Hersteller schreibt ich soll ein "Upgrade to 7.2-64561 or above." machen. Dann sollte/muss er dieses Update mir auch zur Verfügung stellen. So einfach ist das.

Bzgl. dem was @RT17 da als Antwort von Synology bekommen hat bin ich mir nicht sicher ob der Schreibende überhaupt verstanden hat was er dann dort schreibt und/oder was das vermutlich genutze Übersetzungsprogramm daraus gemacht hat. Ich weiß zwar nicht was und wie @RT17 da bei Synology nachgefragt hat, aber eine konkrete und deutliche Antwort von Synology hätte einfach lauten müssen: Die Sicherheitslücke wurde mit der DSM-Version 7.1.1-42962 Update 6 bereits geschlossen. Auch hier wieder: So einfach könnte es sein.

Falls die Sicherheitslücke bereits mit dem 7.1.1-42962 Update 6 geschlossen wurde - was ich pers. nicht glaube - dann ist die diesbezügliche Info auf der Synology Webseite "Upgrade to 7.2-64561 or above." schlichtweg falsch.

VG Jim

 

[metalworker]

Das alter Spielt schon eine rolle.
Irgendwann muss ein HErsteller ja Geräte aus dem Support nehmen .

Wie lang soll denn da Updates bereitgestellt werden ?

 

[Jim_OS]

Wieso das steht doch auf der Webseite zu der Sicherheitslücke:

DSM 7.2 Important Upgrade to 7.2-64561 or above.
DSM 7.1 Important Upgrade to 7.2-64561 or above.
DSM 6.2 Important Upgrade to 7.2-64561 or above.

Sollte es da weitere Einschränkungen geben, also das bestimmte DS-Modelle mit einer DSM 6.2, 7.1, oder 7.2 Version kein Upgrade mehr machen können, weil sie z.B. zu alt und somit nicht mehr unterstützt werden, dann sollte Synology das auf der Webseite mit angeben. Das haben sie sonst bei Updates und Upgrades ja auch gemacht, bzw. machen es eigentlich.

Wenn dort aber keinerlei Einschränkungen genannt werden und Synology jetzt sogar noch schreibt das die Sicherheitslücke mit 7.1.1-42962 Update 6 angeblich nicht mehr besteht, dann kann/muss ein Kunde davon ausgehen das die Sicherheitslücke entweder mit DSM 7.1.1-42962 Update 6 nicht mehr besteht, oder das es noch ein Update auf die Version "7.2-64561 or above" geben wird, sofern auf seiner DS DSM 6.2, 7.1, oder 7.2 läuft.


Edit: Außerdem steht auf der Webseite ja auch: "Status Resolved" Was dann auch bedeuten muss das die Sicherheitslücke bei der DSM 6.2, 7.1 und 7.2 Version geschlossen wurde, bzw. mit "Upgrade to 7.2-64561 or above" geschlossen werden kann. D.h. wenn dem nicht so ist/wäre ist das eine falsche Info seitens Synology.

VG Jim

 

[Benie]

Ich will hier gegen alles gesagte nicht dagegen reden.
Bin auch der Meinung, Synology äußert sich hierzu nur wischiwaschi.
Und richtig ist das alles nicht wie es läuft. Sicherheits Updates müssen für den zugesagten Zeitraum zur Verfügung gestellt werden.

Aber, insgesamt ist doch überall ein Rückgang des Supports zu beobachten.
Ganz vorne dran Microsoft und Windows, Gekaufte Software wird zum Aboangebot und kann aus Support Gründen nicht mehr verwendet werden. Apps verschwinden einfach in den Shops.
Android Handys, zumindestens die etwas älteren, nach 3 Jahren ist der Support, auch mit Sicherheits Updates zu Ende.
(Es gibt natürlich auch Ausnahmen, wo der Support noch länger anhält.)
Es wird jedenfalls alles nicht besser.

 

[Puppetmaster]

Anscheinend arbeiten Sie nun an einer Lösung auch für DSM 6.2:


Link

EOL für DSM 6.2 ist auch erst im Oktober 2024.
Wenn das Argument aber dann wäre: "der Fix für DSM 6.2 ist DSM 7.2", dann wäre das schon eine starke Nummer.
Aber scheint ja erstmal doch noch nicht so zu sein.

 

[Benie]

Vielleicht war das mit 7.2... ein unüberlegter schneller Ansatz und dann erst hat man zu denken angefangen

 

[Thonav]

Bei mir sieht das aber auf dem von @Jim_OS genannten Link anders aus:

 

[Jim_OS]

Anscheinend arbeiten Sie nun an einer Lösung auch für DSM 6.2:

Anhang anzeigen 90748
Link

Publish Time: 2024-01-09 12:01:13 UTC+8 Last Updated: 2024-01-10 11:07:51 UTC+8

Also ein Update von gestern und Status ist jetzt Ongoing. Synology ist jetzt auch aufgewacht. Na mal sehen was da dann kommt.

@Thonav Browser-Cache gelöscht?

VG Jim

 

[synfor]

Browser-Cache löschen hilft nicht, der Parameter am Ende der URL bei deinem Link aber schon.

Bei mir ist Last Updated: 2024-01-11 12:05:07 UTC+8

 

[Jim_OS]

Stimmt also jetzt den Link von @Puppetmaster mit den Parametern benutzen. Ich hatte den Link von @Puppetmaster direkt per Chrome aufgerufen, sodass das dann funktioniert hat und arbeite sonst und auch jetzt mit Firefox. Wenn ich den Link von @Puppetmaster jetzt wieder per Firefox aufrufe wird wieder nur der alte Link ohne Parameter geladen. Trotz des löschens vom Cache und der Chronik bei Firefox. Das dürfte bei mir wohl an den installierten Addons (z.B. uBlock Origin und/oder NoScript) für Firefox liegen.



VG Jim

 

[Thonav]

Bei mir auch - nur über den Link von Puppet komme ich auf die von Euch geschilderte aktuelle Seite, wenn ich aber in die Übersicht aller gemeldeten Probleme gehe und von dort wieder auf den neuesten Fall, so habe ich wieder nur den Stand vom 09.01.

 

[Jim_OS]

Jepp ist bei mir auch so. Egal welcher Browser. Die Synology Product Security Advisory Übersichtsseite führt - Stand jetzt - weiterhin zu dem Link ohne den zusätzlichen Parameter. Die Seite bzw. URL dort dürfte wohl noch nicht aktualisiert worden sein. Wo auch immer @Puppetmaster den Link her hat, bzw. darauf gekommen ist, denn sowohl bei der Global EN-Seite https://www.synology.com/en-global/security/advisory als auch bei der DE-Seite https://www.synology.com/de-de/security/advisory?page=1 führt der Link von der Übersichtsseite immer zu https://www.synology.com/de-de/security/advisory/Synology_SA_24_01 ohne die Parameter.

Aber im Grund genommen ist es ja auch egal. Wichtig ist das Synology aufgewacht ist und festgestellt hat das sie wohl einen Fehler gemacht habe.

BTW: Soviel zu dem Thema bzw. der Antwort die @RT17 von Synology bekommen hat.

VG Jim

 

[Puppetmaster]

Ja-haa, den Link habe ich geschickt geraten.

Nein, ernsthaft, den findest du, wenn du dir die Kommentare zum gleichen Themen-Artikel bei heise durchliest.
Warum man den über die offizielle Seite von Synology selbst anscheinend nicht erreichen kann, kann ich nicht erklären und finde es ebenso merkwürdig, wie so einiges andere.

 

[Jim_OS]

Komm gib's zu Du hast eine magische und auch funktionierende Glaskugel. Auch haben will.

VG Jim

 

[Synchrotron]

Ist doch alles ganz einfach: Es gibt bekanntlich User, die eine DS, die man updaten könnte, nicht auf dem neuesten Stand halten. Also patcht man zuerst das aktuelle OS, und fordert alle, die eine schnelle Lösung brauchen, zum Patch/Update auf.

Dann zieht man die anderen nach.

So sieht das für mich aus, nur die Kommunikation dürfte gerne deutlich konkreter ausfallen. Erstens darin was überhaupt der Angriffsvektor ist, und zweitens in der Ansage DSM x.x.x ist noch in Arbeit, Patch folgt.

 

[Thonav]

Diesen Wunsch nach Information habe ich bei Synology damals bei dem Bug meiner DS1515+ Geräte aufgegeben. Die Schweigen lieber als konstruktiv oder gar proaktiv zu informieren. Passt zu meinen geschäftlichen Erfahrungen mit vielen Asiaten.

 

[*kw*]

Diesen Wunsch nach Information habe ich bei Synology damals...aufgegeben.

Ging mir nach dem Thema "Zertifikat & Apple" genauso und habe meinen Account dort gelöscht.

Bin dann doch froh, dass die Community die Kartoffeln aus dem Feuer holt und "eine gescheite Mahlzeit serviert".

 

[RT17]

Also "Ongoing" heißt, es kommt für DSM 7.1 ein Update. Das ist erstaunlich, denn meine Antwort vom Synology-Support, die ich hier gepostet hat, sagte ja, alles OK, keine Sorge. Und ich muss ergänzen, dass ich da zwei Antworten zusammenkopiert habe. Ich hatte nämlich extra noch das nachgefragt:

Ja, aber auf der Synology-Seite zu dieser Sicherheitswarnung steht, man muss DSM 7.1 auf 7.2-64561 updaten, um die Sicherheitslücke zu schließen.
Also ist meine DS3615xs derzeit nicht sicher!
Wie soll das weitergehen? Kommt da ein 7.2-64561 für mein Gerät?

Und dann kam die Antwort:

Es ist kein Patch erforderlich, wenn Ihr DSM für das Gerätemodell auf dem neuesten Stand ist.

Aber egal, wenn jetzt ein Patch "ongoing" kommt, kann man Synology ja wieder neuen Kunden ohne schlechtes Gewissen empfehlen!

 

[alexhell]

Wenn mich jemand fragt, rate ich seit einiger Zeit von Synology ab und das bleibt auch so. Die Kommunikation ist unter aller Sau. Es gibt keine Kernel Updates. Auf die Synology Apps kann man sich nicht wirklich verlassen. Note Station für Android hat seit Jahren kein Update bekommen. Apps werden einfach eingestellt oder ersetzt. Die Pakete werden ebenfalls nicht gepflegt. Siehe Docker. Da kommt ja erst mit der neuen Version eine aktuelle Engine. Aber viele ältere Geräte bekommen diese ja gar nicht. Und da hat man eine Engine die EOL ist.
Und wegen dem Patch. Vielleicht sollten die sich mal intern einigen was sie kommunizieren und was nicht. Man weiß jetzt eigentlich nicht wie der Status wirklich ist....

 

[plang.pl]

Da bin ich grundsätzlich bei @alexhell
Wenn man erst kommuniziert, dass man ein Update braucht und dann sagt man, dass man es doch nicht braucht, klingt es so, als wolle sich da nur jemand rausreden.
Ich muss aber dennoch sagen, dass für die meisten einfachen Fälle (insbesondere wenn jemand kein Docker nutzt), ein Synology NAS dennoch unter allen Alternativen die beste Wahl ist (in Sachen Fertiglösung). Wenn jemand aber Bock hat, was Gescheites aufzusetzen, was ähnlich kompakt ist, empfehle ich ein TerraMaster NAS mit nachinstalliertem TrueNAS Scale.