[Wichtig] Sicherheitsupdate(s) erforderlich !!! (Pwn2Own Ireland 2024)

[stevenfreiburg]

Die meisten wurden sicher per E-Mail informiert und haben bereits alle Updates gemacht. Aber vielleicht nicht alle?
Das Thema ist so wichtig und brisant, dass ich diese Infos mal hier poste.

Damit ist klar, warum selbst die alte EOL DSM 6.2.4 ein Update kriegt.
Leider wird nirgends geschrieben, welche Gefahren und Schäden durch diese Sicherheitslücken verursacht werden können.

Hier die aktuelle E-Mail von Synology:

Synology sponsert proaktiv Sicherheitsforscher und arbeitet mit ihnen im Rahmen von Produktsicherheitsinitiativen zusammen. Auf der diesjährigen Pwn2Own Ireland 2024 Veranstaltung, die Ende Oktober stattfand, haben wir erfolgreich mehrere Sicherheitslücken entdeckt und behoben.​

Seit dem 5. Dezember stehen Updates für alle unterstützten Betriebssystemversionen bereit, darunter BeeStation OS 1.0 und 1.1 sowie DSM 7.2.2, 7.2.1, 7.1 und der End-of-Life-Version DSM 6.2. 92% der Benutzer haben ihre Systeme bereits auf die neuesten Versionen aktualisiert, um eine optimale Sicherheit zu gewährleisten.​

Diese Schwachstellen wurden nicht ausgenutzt. Aufgrund des Umfangs und der Schwere der spezifischen Probleme, raten wir dennoch allen Administratoren von Synology Geräten, sofort Maßnahmen zur Aktualisierung ihrer Systeme und Pakete zu ergreifen. Für weitere Details zur Durchführung von automatischen/manuellen Updates folgen Sie bitte den unten stehenden Anleitungen:

Wie aktualisiere ich von einer älteren Version auf die neueste DSM-Version? Wie aktualisiere ich meine DSM-Pakete auf die neueste Version?

Für detaillierte Informationen lesen Sie bitte die folgende Sicherheitswarnung.

​ ​ Security Advisory​ Affected Products​ Solution​ Synology-SA-24:18 BeePhotos BeePhotos for BeeStation OS 1.1 BeePhotos for BeeStation OS 1.0 Upgrade to 1.1.0-10053 or above. Upgrade to 1.0.2-10026 or above. Synology-SA-24:19 Synology Photos Synology Photos 1.7 for DSM 7.2.2 Synology Photos 1.6 for DSM 7.2 Upgrade to 1.7.0-0795 or above. Upgrade to 1.6.2-0720 or above. Synology-SA-24:20 DSM DSM 7.2.2 DSM 7.2.1 DSM 7.1 DSM 6.2 DSMUC 3.1 ​ Upgrade to 7.2.2-72806-1 or above. Upgrade to 7.2.1-69057-6 or above. Upgrade to 7.1.1-42962-7 or above. Upgrade to 6.2.4-25556-8 or above. Upgrade to 3.1.4-23079 or above​ ​ Synology-SA-24:21 Synology Drive Server​ Synology Drive Server for DSM 7.2.2 Synology Drive Server for DSM 7.2.1 Synology Drive Server for DSM 7.1 Synology Drive Server for DSM 6.2 Upgrade to 3.5.1-26102 or above. Upgrade to 3.5.0-26085 or above. Upgrade to 3.2.1-23280 or above. Upgrade to 3.0.4-12699 or above.​ Synology-SA-24:22 Replication Service DSMUC 3.1 Replication Service for DSM 7.2 Replication Service for DSM 7.1 Replication Service for DSM 6.2 Upgrade to 3.1.4-23079 or above. Upgrade to 1.3.0-0423 or above. Upgrade to 1.2.2-0353 or above. Upgrade to 1.0.12-0066 or above.​ Synology-SA-24:23 BeeStation BeeStation OS 1.1 BeeStation OS 1.0 Upgrade to 1.1-65374 or above. Upgrade to 1.1-65374 or above.​ Synology-SA-24:24 Synology Camera BC500 CC400W TC500 Upgrade to 1.2.0-0525 or above. Upgrade to 1.2.0-0525 or above. Upgrade to 1.2.0-0525 or above.​

 

[Synchrotron]

Die Updates wurden allen bereits angeboten. Wer seine Benachrichtigungen eingerichtet oder Active Insight installiert hat, bekam auch EMails.

Sie haben sogar noch 6.2 gepatcht, obwohl EOL.

Die Lücke wurde bei einem Wettbewerb gefunden. Mir ist nicht bekannt, dass sie tatsächlich schon ausgenutzt wird. Und sie setzt voraus, dass die DS von außen erreichbar ist.

Zielgruppe einer Warnung sind also Benutzer, die ihre DS ins Internet stellen, sie nicht überwachen und keine Benachrichtigungen empfangen.

Leider tauchen diese User hier erst auf, wenn der Titel des Posts irgendwas mit „verschlüsselt“ und „kein Backup“ sagt. Denen ist (dann) meist nicht zu helfen.

Trotzdem danke für die Warnung !