News Qfix 1.0.1: QNAP behebt „Shellshock“-Lücke bei NAS-Systemen

[computerbase107]

Nur ein paar Worte der Erwiderung Deiner Hauptthese Synology ist in Bezug auf Sicherheit besser als Qnap:

Gibt es die von Dir geschilderten Probleme mit der aktuellen Firmware V 4.1.1 von Qnap noch ?
Oder sind dies Probleme in Verbindung mit den "Asbach"-Versionen 3.7x und 3.8.x ?

In diesem Zusammenhang ein Hinweis: Mein eines altes Qnap von 2009 hat die aktuelle Firmware 4.1.1 inkl. Patch und läuft sauber damit.
Welchen Grund sollte es geben noch die angegebenen "Asbach"-Versionen der Firmware einzusetzen ?

Allgemein gesprochen ist die Sicherheit von Software ein fortlaufender Prozess, der vom Benutzer die entsprechenden Aktualisierungen erfordert, sofern sie vom hersteller bereitgestellt werden.
Wenn er dies aus welchen Grunde auch immer nicht durchführt, geht der User ein erhöhtes Risiko ein. Hier hat die Herstellerfirma keine Verantwortung mehr.

 

[johnripper]

Das war mir bekannt und das ist auch sehr ärgerlich. Allerdings entstand das wohl, weil Synology den Heartbleed-Bug innerhalb weniger Stunden nach Bekanntwerden beheben wollte und sich wohl dadurch dieser Fehler eingeschlichen hat.

Also bevorzugst du einen Hersteller der auf die Schnelle irgendwas frickelt und nicht ausreichend testet? Das kann nicht dein Ernst sein...
M.E ist sowas einfach unverantwortlich und bringt ferner keine irgendwas, schon deswegen weil es bei dem durchschnittlichen Nutzer das Vertrauen in derartige Updates erschüttert. Dann heißt es zukünftig "ich lass das mal lieber, beim letzten mal gabs damit nur Probleme".
Selbiges gilt IMHO auch für die in der letzter Zeit häufig Probleme machende Windowsupdates (wobei für viele eigentlich gar nicht MS verantwortlich war).

Versehe mich nicht falsch. Sicherheitsprobleme gibt es überall, aber ich will dass der Hersteller das zeitnah und gleichzeitig korrekt behebt.

Zu dem Synology-Problem von oben:
Das war mir bekannt und das ist auch sehr ärgerlich. Allerdings entstand das wohl, weil Synology den Heartbleed-Bug innerhalb weniger Stunden nach Bekanntwerden beheben wollte und sich wohl dadurch dieser Fehler eingeschlichen hat. Bei QNAP werden Sicherheitslücken wenn überhaupt, erst Tage oder Wochen später gefixt. Für Firmware-Versionen 3.7.x und 3.8.x gibt es gar keine Updates mehr!

In der 4.1.1 sind derzeit alle kritischen Schwachstellen gefixed.
Wozu sollten die alten Minor-Versionen noch gepflegt werden? Ich sehe da keinen Vorteil, es kostet lediglich Geld, bindet Ressourcen und erhöht den Supportaufwand.

Mal ganz abgesehen davon, scheint Synology wohl massive Sicherheitsprobleme zu haben:
http://www.zdnet.de/88200995/ransomware-attackiert-nas-systeme-von-synology/

 

[websurferin83]

Das Problem mit der Malware auf Synology betrifft aber nur Geräte, die quasi noch nie ein Sicherheitsupdate erhalten haben.

Warum ich auf QNAP nicht die 4.1.1 installiere?
- Weil die Performance auf Geräten mit ARM-Prozessor deutlich einbricht, dies wurde in den einschlägigen Foren schon mehrfach diskutiert.
- Weil es massive Probleme mit der Erkennung einiger externer USB-Speichermedien seit QTS 4.x gibt.
- Weil mir niemand vorher sagen kann, ob mein System danach überhaupt noch funktioniert. Im Gegensatz zu Synology gibt es nach jedem größeren Update bei QNAP immer wieder zahlreiche Geräte, die nicht mehr ansprechbar sind. Und im Gegensatz zu Synology gibt es keine einfache und schnelle Prozedur zur Wiederherstellung...
- Und nicht zuletzt, weil die aktuellen Releases von QNAP eher den Status ein frühen Beta-Version haben und damit für Produktivumgebungen nicht zu gebrauchen sind.

Gruß
websurfer83.

 

[johnripper]

Im Gegensatz zu Synology gibt es nach jedem größeren Update bei QNAP immer wieder zahlreiche Geräte, die nicht mehr ansprechbar sind. Und im Gegensatz zu Synology gibt es keine einfache und schnelle Prozedur zur Wiederherstellung...

Bisher sehe bei deinem einseitigen Bashing keine nachvollziehbaren Quellen. Im Gegensatz dazu lässt sich bei Synology sehr deutlich nachvollziehen welche Probleme es gibt.

Ich sage nicht, dass bei QNAP keine Probleme gibt, aber deine Ansichten sind nachweislich verschoben.

 

[MaverickM]

Mal ganz abgesehen davon, scheint Synology wohl massive Sicherheitsprobleme zu haben:
http://www.zdnet.de/88200995/ransomware-attackiert-nas-systeme-von-synology/

Wenn Du schon dergleichen zitierst, solltest Du vielleicht auch den ganzen Text lesen. Die Lücke wurde schon vor Wochen geschlossen. Wer nicht updated, ist selbst Schuld. Und wer dann noch so dumm ist, und kein Backup hat und auf die Zahlungsaufforderung eingeht... Keine Worte mehr.

 

[websurferin83]

Bisher sehe bei deinem einseitigen Bashing keine nachvollziehbaren Quellen. Im Gegensatz dazu lässt sich bei Synology sehr deutlich nachvollziehen welche Probleme es gibt.

Ich sage nicht, dass bei QNAP keine Probleme gibt, aber deine Ansichten sind nachweislich verschoben.

Das ist kein einseitiges Bashing, da ich BEIDE Hersteller im Einsatz habe, QNAP seit 4 Jahren, Synology seit 1 Jahr. Und das sind nicht nur meine Erfahrungen, sondern auch von vielen anderen Usern. Seit Firmware 4.0 sind die Probleme und Fehler massiv angestiegen.

Hier eine erste Auswahl:
http://forum.qnapclub.de/viewtopic.php?f=129&t=26952
http://forum.qnapclub.de/viewtopic.php?f=129&t=31200
http://forum.qnapclub.de/viewtopic.php?f=129&t=31275
http://forum.qnapclub.de/viewtopic.php?f=450&t=31278
http://forum.qnapclub.de/viewtopic.php?f=450&t=30932
http://forum.qnapclub.de/viewtopic.php?f=441&t=28861
http://forum.qnapclub.de/viewtopic.php?f=433&t=26600

Ich denke, du hast nun genügend Lektüre für das Wochenende ;-)

Gruß
websurfer83.

 

[johnripper]

Wo liegen die Probleme von Synology?

q.e.d

 

[websurferin83]

Wo liegen die Probleme von Synology?

q.e.d

Bei Synology liegen die Probleme wohl eher anders gelagert:
Z.B. lassen sich beim Medienserver die Standard-Ordner nicht deaktivieren. Bei QNAP dagegen ist Twonky mit dabei, da gibt es mehr Spielraum bei den Einstellungen.
Außerdem kommt Synology mit OpenVPN als Client nicht klar, QNAP dagegen unterstützt nicht einmal PP2P oder L2TP als Client.

Insgesamt hat Synology aktuell aber die wesentlich stabilere Firmware als QNAP mit weit weniger gravierenden Problemen.

Ich habe ja auch nicht gesagt, dass Synology keine Probleme hat, aber bei QNAP hat man wirklich den Eindruck, dass alles ab 4.0 Beta-Versionen sind, die davor hatten wenigstens RC-Status ;-)

 

[VodKen]

QTS 4.1.1 Build 1003


( 2014/10/04 )




Release Notes

-------------------------------------------------------------------------------------------------------


[QTS 4.1.1 Build 1003]

[Change log]

- Fixed Bash security vulnerabilities with official GNU Bash patch update.
(CVE-2014-6271, CVE-2014-7169, CVE-2014-6277, CVE-2014-7186, CVE-2014-7187, and CVE-2014-6278).
- This release has included the Qfix 1.0.1.
- Improved iSCSI stability under heavy I/O activities.





[Applicable NAS]

-TS-EC880 Pro, TS-EC1080 Pro, TS-EC880U-RP, TS-EC1280U-RP, TS-EC1680U-RP, TS-EC2480U-RP

-TS-879 Pro, TS-1079 Pro, TS-879U-RP/EC879U-RP , TS-1279U-RP/EC1279U-RP, TS-1679U-RP/EC1679U-RP, SS-EC1279U-SAS-RP, SS-EC1879U-SAS-RP, SS-EC2479U-SAS-RP

-TS-470, TS-470 Pro, TS-670, TS-670 Pro, TS-870, TS-870 Pro

-TS-1270U-RP, TS-870U-RP, TS-1269U-RP,TS-869U-RP, TS-269 Pro/269L, TS-469 Pro/469L, TS-469U-RP/SP, TS-569 Pro/569L, TS-669 Pro/669L, TS-869 Pro/869L

-SS-453 Pro, SS-853 Pro, TS-253 Pro, TS-453 Pro, TS-653 Pro, TS-853 Pro

-TS-251, TS-451, TS-651, TS-851

-HS-210, HS-251, IS-400 Pro

-TS-121, TS-221, TS-421, TS-421U

-TS-120, TS-220, TS-420, TS-420U

-TS-119/119P+/119P II, TS-219/219P/219P+/219P II, TS-419P/419P+/419P II, TS-419U/419U+/419U II

-TS-259 Pro/259 Pro+, TS-459 Pro/459 Pro+/459 Pro II, TS-459U-RP/SP, TS-459U-RP+/SP+, TS-559 Pro/559 Pro+/559 Pro II, TS-659 Pro/659 Pro+/659 Pro II, TS-859 Pro/859 Pro+, TS-859U/859U+

-SS-439 Pro, SS-839 Pro, TS-239 Pro, TS-239H, TS-239 Pro II, TS-239 Pro II+, TS-439 Pro, TS-439 Pro II, TS-439 Pro II+, TS-439U RP/SP, TS-639 Pro


Also das wurde bei mir installiert? Da ist doch der Fix mit dabei ?

 

[johnripper]

Da ist doch der Fix mit dabei ?

....

- This release has included the Qfix 1.0.1.

 

[Stahlseele]

Ja, meine TS-119 bekommt auch grade die 20141003 Firmware per Autoupdate.

 

[websurferin83]

Eine neue Runde der massiven Probleme nach Firmware-Updates bei QNAP wurde eingeläutet, hier mehr dazu:
http://forum.qnapclub.de/viewtopic.php?f=477&t=32208
http://forum.qnapclub.de/viewtopic.php?f=477&t=32214

Bei QNAP Updates einspielen ist wie russisches Roulette: man weiß nie, ob der "Patient" es überleben wird.

 

[LukS]

Ich habe am Freitag im Web-GUI angezeigt bekommen das die Version 4.1.1 Built 1003 verfügbar ist. Konnte die Version ohne Probleme über das Web-GUI installieren. Nach 5 Minuten war es erledigt und ich habe bisher keine Probleme festgestellt.
Vorher hatte ich schon die Version 4.1.1 Built 0916 installiert. Bei dieser konnte ich auch keine Probleme feststellen.

Ich hatte bisher erst einmal ein Problem mit meinem QNAP. Da ließ sich das Updaten nicht installieren und ist immer bei 50% abgebrochen. Beim dritten Neustart hat es dann endlich geklappt und alles lief ohne Probleme durch.

 

[computerbase107]

... Bei QNAP Updates einspielen ist wie russisches Roulette: man weiß nie, ob der "Patient" es überleben wird.

Viel billiger und flacher kann Polemik nicht sein, schade.

 

[websurferin83]

Viel billiger und flacher kann Polemik nicht sein, schade.

Schade ist, dass QNAP es nach wie vor nicht schafft, eine stabile Firmware zu veröffentlichen, die man ohne Bauchschmerzen auch auf Produktivsystemen installieren und einsetzen kann. Die Konkurrenz zeigt, dass es auch anders geht.

Ich bin immer mehr am überlegen, mittelfristig auf ein komplett selbst zusammengestelltes System umzustellen, bei dem eine Standard-Linux-Distribution wie CentOS oder Debian zum Einsatz kommt. Da ist es fast unmöglich, sich durch Patches das komplette System abzuschießen (wenn man ein wenig Hirn und Sachverstand einsetzt).

Und die Probleme gehen weiter:
http://forum.qnapclub.de/viewtopic.php?f=477&t=32221

Für den Fall, dass das NAS nicht mehr startet, gibt es eine ellenlange und komplizierte Wiederherstellungsprozedur:
http://wiki.qnap.com/w/index.php?title=Firmware_Recovery&setlang=de

Benutzerfreundlich sieht eben anders aus...

 

[chrigu]

bei mir gings problemlos...

 

[computerbase107]

Schade ist, dass QNAP es nach wie vor nicht schafft, eine stabile Firmware zu veröffentlichen, die man ohne Bauchschmerzen auch auf Produktivsystemen installieren und einsetzen kann. Die Konkurrenz zeigt, dass es auch anders geht.
...
Benutzerfreundlich sieht eben anders aus...

Wenn über 99% der Anwender mit dem Update klarkommen und anschließend die Systeme im privaten wie im produktiven Umfeld sauber laufen, ist aus meiner Sicht Firma QNAP ihrer Pflicht nachgekommen für ein passendes Update in angemessener Zeit zu sorgen.

Die User, die zu den wenigen Anwendern gehören, wo es nicht geklappt hat, aus welchen Gründen (technisch, Software oder User) auch immer, können sich doch an den Service wenden und mit ihm zusammen das Update erledigen inklusive Fern-Administration durch den Kundendienst von Qnap (sofern mir bekannt).

Hieraus pauschal eine schlechte Qualität im Allgemeinen zu den Produkten abzuleiten, ist rational nicht mehr zu erklären.

Wenn bei Dir besondere Umstände vorliegen, die es nicht ermöglichen dieses Sicherheitsupdate einzuspielen, dann kläre es mit dem Service ab, denn hier in diesem Thread gibst Du uns ja keine Chance Dir zu helfen indem Du Dich nur in pauschalem "Bashing" über Firma Qnap ergehst, schade das Du diesen Thread einfach nur zum persönlichen "auskotzen" verwendest durch Deine Beiträge.