Sicherheitslücke in DSM 7.1 - auch der aktuellsten Version

[TomH22]

Laut Meldung auf heise.de gibt es eine Lücke in DSM:

https://www.heise.de/news/Synology-warnt-vor-Sicherheitsluecke-im-DSM-Betriebssystem-9591871.html

Sie wird scheinbar in älteren Versionen als DSM 7.2 nicht mehr gefixt, was ärgerlich ist, wenn man ein Gerät hat, dass nur DSM 7.1 unterstützt, obwohl DSM 7.1 eigentlich bis Ende 2025 supoorted werden soll.

Es betrifft zwar “nur“ lokale Benutzer, insofern im privaten Heimnetz nur ein eher geringes Risiko, aber trotzdem nicht schön.

 

[duAffentier]

Und, was will man machen? ;(
Da kann man wenig tun! Sie informieren und sind ihrer Pflicht nachgekommen.

 

[TomH22]

Da kann man wenig tun! Sie informieren und sind ihrer Pflicht nachgekommen.

Naja, unter Support bis 2025 verstehe ich was anderes.
Da die Lücke eine Risikoeinstufung „hoch“ hat, sollten gewerbliche Anwender betroffene Systeme die nicht auf 7.2 gebracht werden können, dringend durch neuere Systeme ersetzen.

Im Privatbereich ist das nicht zwingend notwendig, aber auch da sollte man über einen baldigen Ersatz entsprechender Systeme nachdenken.

Ich habe da auch kein Problem, Synology supported die Geräte ja schon recht lang. Aber sie sollten dann lieber konsequent sein, und sagen 7.1 wird nicht mehr unterstützt. Entweder ganz oder garnicht…

 

[andy_m4]

Synology supported die Geräte ja schon recht lang.

Jetzt mal so als Unwissender: Was heißt denn "lang" konkret?

 

[TomH22]

Ich dachte eben „ernsthaft“ - will er das ich es für ihn google

Aber die Information ist erstaunlich gut versteckt, mit Suchbegriffen wie „DSM lifecycle“ etc. findet man es nicht.

Es ist etwas versteckt in einem Security Whitepaper:

https://kb.synology.com/en-sg/WP/Synology_Security_White_Paper/3

Das steht u.a. für DSM 7.1 2024/6 als EOM und 2025/6 als end of extended life.

Hier:

https://www.computerbase.de/2023-12/end-of-life-synology-laeutet-das-support-ende-von-dsm-6-2-ein/

steht der Hinweis, das die 13er bis 15er Serien auf DSM 7.1 aktualisiert werden können.

Da die 13 2013 erschienen ist, bedeutet das mehr als 10 Jahre ab Produktstart. Bis wann die 13 Modelle verkauft wurden, weiß ich nicht. Aber auch wer ein Produkt kurz vor Abkündigung gekauft hat, wird vermutlich noch deutlich mehr als 5 Jahre Support bekommen haben.

 

[NobodysFool]

Naja zumeist dürften die 13er Modelle durch die 15er abgelöst worden sein. Meine DS1813+ habe ich 2014 gekauft. Allerdings läuft die bei mir nur noch als sekundäres NAS. Primär wurde die bei mir schon durch die 1821+ ersetzt.

Ich würde das jetzt auch gar nicht so dramatisch sehen. So lange das NAS nicht von außen erreichbar ist, ist das Risiko im Heimnetz äußerst überschaubar. Man darf auch nicht übersehen, 10 Jahre sind auch für ein privat genutztes NAS schon ein Alter. Im Vergleich mit der 1821+ fällt mir schon auf, wie lahmarschig die 1813+ dagegen oft ist. Das mag im Alltagsbetrieb nicht immer so auffallen.

Aber ich habe erst letztens in der 1821+ eine 10 TB Platte gegen eine 18 TB ersetzt. Der Rebuild hat etwa 2 Tage gedauert. Mit der frei gewordenen 10er Platte habe ich in der 1813+ eine 4 TB ersetzt. Die hat dafür 4 Tage gebraucht. Recht voll waren beide schon (DS 1821+ mit zuvor SHR2 mit 6x18 TB + 2x10 TB noch ca. 1 TB frei - DS1813+ SHR2 mit 6x10 TB und 2x4 TB waren noch 300 GB frei, Die hatten also beide mit der Kapazitätserweiterung ordentlich zu tun. Die 1821+ sogar deutlich mehr, und war trotzdem in der halben Zeit damit durch. Einmal kann ich das bei beiden noch, dann haben beide in allen 8 Bays wieder gleich große Platten.

 

[andy_m4]

will er das ich es für ihn google

Klar. :-)
Weiß ich wie man dieses Google-Dingens bedient. Ich kenn mich mit dem neumodischen Zeugs nicht aus. :-)

Aber die Information ist erstaunlich gut versteckt

Ja. Ich werte das auch als schlechtes Zeichen. Klar kann man nicht immer sagen, wie lange man ein Produkt supportet. Kommt ja auch immer drauf an, wie gut es sich verkauft.
Aber wenigstens auf der Webseite für das jeweilige Produkt einfach mal ranzuschreiben:
"Wird mindestens bis xyz supportet" wäre ja schon mal ne Überlegung wert.

Ansonsten. Ja. Die Supportzeit ist verglichen mit dem, was sonst so in der IT-Industrie üblich ist durchaus in Ordnung.

Ergänzung (10. Januar 2024)

Man darf auch nicht übersehen, 10 Jahre sind auch für ein privat genutztes NAS schon ein Alter.

Naja. Ich hab hier Rechner stehen die älter als 10 Jahre sind und immer noch gut ihren Dienst tun. Und die wurden mehr mit wachsenden Anforderungen konfrontiert als mein NAS.
Kommt natürlich auch drauf an. Wenn die Hardware schon vom Start weg ziemlich low-end ist, dann wirds natürlich nach 10 Jahren anstrengend.

 

[NobodysFool]

Naja. Ich hab hier Rechner stehen die älter als 10 Jahre sind und immer noch gut ihren Dienst tun. Und die wurden mehr mit wachsenden Anforderungen konfrontiert als mein NAS.
Kommt natürlich auch drauf an. Wenn die Hardware schon vom Start weg ziemlich low-end ist, dann wirds natürlich nach 10 Jahren anstrengend.

Nunja, der von mir am längsten genutzte PC war 7-8 Jahre, mein i7 2600K. Der war damals als ich mir den zusammengestellt habe nicht ganz das Topmodell, aber eben knapp darunter. Der steht auch immer noch da und läuft immer noch gut - für Alltagsaufgaben. Aber wenns um Lesitung geht kann er mit meinem Ryzen 9 3950X halt nicht mehr annähernd mithalten. Und bei dem hoffe ich dass mir der in etwa auch wieder so lange reicht. Knapp 4 Jahre hat er ja auch schon wieder bald. Ich denke das schafft der locker, wenn nicht sogar länger.

Ich hab hier sogar noch einen Core2Quad Q6600 stehen, der tuts im Prinzip auch noch. Und für Office und Internet reicht der noch. Aber bei manchem Windows Update braucht der halt auch mitsamt SSD mittlerweile schon seine Zeit. Abgesehen davon dass man die Leistung des Q6600 inzwischen auch in einem billigen gebrauchten Mini-PC für einen deutlich geringeren Stromverbrauch bekommt.

Ich sitz hier auf ein paar älteren Rechnern, die noch recht gut gehen. Die sind aber eher etwas Spielerei nebenbei, zu schade zum Wegschmeissen, oder wenn mal Besuch da ist kann man noch irgendwas zusammen zocken. Aber in der Dauer- oder Alltagsnutzung sind sie je nach Szenario oft eigentlich nicht mehr sinnvoll. Früher habe ich auf denen rechenintensive Nebenaufgaben oder den BOINC-Client laufen lassen, um mir den Hauptrechner nicht zu blockieren. Aber seit dem 3950X brauch ich zumindest die "großen Kisten" davon nicht mehr wirklich - ist nur noch Nostalgie. Und Distributed Computing via BOINC ist bei den Stromkosten sowieso nicht mehr bezahlbar. Ich hab allerdings mal anfangs noch ausprobiert wie der 3950X da performt. Wenn man den Graph meiner Credits bei BOINC anschaut, sieht man sehr gut, wie stark die Rechenleistung über die Jahre zugenommen hat - und wann der Strom zu teuer wurde. :-P

 

[andy_m4]

Aber wenns um Lesitung geht kann er mit meinem Ryzen 9 3950X halt nicht mehr annähernd mithalten

Ja. Wäre ja auch wahnsinnig zu behaupten, das von der Leistung her ein 10 Jahre altes System mit einem Aktuellen mithalten kann.

Aber bei manchem Windows Update braucht der halt auch mitsamt SSD mittlerweile schon seine Zeit.

Windows-Updates waren noch nie besonders effizient. :-)

 

[DerKoernel]

Die Wahrscheinlichkeit, dass das NAS eines 08/15 Privatanwenders angegriffen wird ist eher sehr gering. Für Angreifer interessante Daten wird es da eher kaum geben. Trotzdem bleibt ein fader Beigeschmack, wenn sich die großen NAS-Anbieter gelegentlich ein Security-Battle liefern, dessen Produkte man zu Hause einsetzt.

QNAP Warnung
Zyxel Warnung

Dann noch das Thema mit der Versionsunterstützung über x-Jahre. Wo ist denn das Problem, das plötzlich Version X ausläuft und nicht mehr unterstützt wird? Man wird von den Herstellern gezwungen sich ein neues Gerät zu kaufen um wieder eine Laufzeit Y zu erhalten. Die Hardware wird sich (mal abgesehen davon das sie neuer sein wird) nicht viel ändern. Der Punkt ist halt das nur Umsatz erzielt wird, wenn sie verkaufen und das machen sie mit den Geräten. Theoretisch ließe sich also alte Synology/QNAP Hardware mit neuen Versionen updaten, würden es die Hersteller zulassen.

Wenn man also unbedingt zu Hause ein NAS haben möchte aber von der Materie keine Ahnung hat, bleibt nur Option 1: sich damit beschäftigen (Lesen & verstehen = selber machen) oder Option 2: häufiger Fertigmodelle kaufen (+ vertrauen).

Die nächste Security Warnung steht bestimmt schon in den Startlöchern :-)

Meine aktuelle Eigenbau NAS kostete mich in den letzten 3 Jahren etwa 2000 Euro, incl. Platten, Hardware und USV. Dafür habe ich jetzt performancetechnisch mit 64 GB Ram (max. 128), 14 Kernen, 3x M2-SSD + 6x HDD (ich kann bis 18 HDD) für die nächsten 10+ Jahre ruhe! Security Technisch sind sämtliche Programme von Außen nur mit F2A aufrufbar und generell per NGINX etc. geschützt.

 

[andy_m4]

Die Wahrscheinlichkeit, dass das NAS eines 08/15 Privatanwenders angegriffen wird ist eher sehr gering. Für Angreifer interessante Daten wird es da eher kaum geben.

Die meisten Angriffe sind ja nicht zielgerichtet. Viele Angreifer gucken ja vorher nicht, wo es sich lohnt, sondern fahren automatisiert massenweise Angriffe und gucken dann allenfalls hinterher.
Insofern wäre es fahrlässig sich allein darauf zu verlassen, das man ein unattraktives Ziel ist.

Theoretisch ließe sich also alte Synology/QNAP Hardware mit neuen Versionen updaten, würden es die Hersteller zulassen.

Man könnte auch mal über eine gesetzgeberische Lösung im Bereich der Gewährleistung nachdenken. Denn eine Sicherheitslücke bedeutet ja letztlich nichts anderes, als das der Hersteller ein kaputtes Produkt ausgeliefert hat.
"Verkauft" werden uns Supportzeiträume aber immer als besonderen Service. Produktpflege. So wie bei Verschleißteilen die gratis regelmäßig gewechselt werden. Aber so ist es ja eigentlich nicht. Die Notwendigkeit von Updates ergibt sich aus mangelnder Qualitätssicherung. Und das mal Fehler passieren können, ist ja ok. Aber inzwischen sind ja Updates ein fester Teil unseres Alltags und normal geworden.

 

[DerKoernel]

Man könnte auch mal über eine gesetzgeberische Lösung im Bereich der Gewährleistung nachdenken

Haha, ja, schlag das der europäischen Kommission doch mal vor. Immerhin wurde jetzt endlich ein Durchbruch mit den einheitlichen Ladesteckern gegen die Stecker-Mafia erzielt. Hat auch gar nicht lange gedauert (2009 bis 2024/25).

 

[TomH22]

Aber wenigstens auf der Webseite für das jeweilige Produkt einfach mal ranzuschreiben:
"Wird mindestens bis xyz supportet" wäre ja schon mal ne Überlegung wert.

Im Prinzip macht Synology das, auch bezüglich z.B. wie lange Hardware support (z.B. Ersatzteile) bekommt. Nur scheint Synology sich in diesem Fall nicht an seine eigenen Aussagen zu halten. Das ist bei „Near“ EOL Produkte jetzt in meinem Augen auch nicht super verwerflich. Mein Beitrag war nicht unbedingt als Beschwerde gemeint, sondern als Hinweis an andere.

Der Punkt ist halt das nur Umsatz erzielt wird, wenn sie verkaufen und das machen sie mit den Geräten.

Das ist ja auch ok und verständlich. Der Ersatz meines alten NAS durch ein Neueres Modell ist sowieso für dieses Jahr geplant.

Wenn man also unbedingt zu Hause ein NAS haben möchte aber von der Materie keine Ahnung hat, bleibt nur Option 1: sich damit beschäftigen (Lesen & verstehen = selber machen) oder Option 2: häufiger Fertigmodelle kaufen (+ vertrauen).

Auch bei einem Fertig NAS ist es besser wenn man etwas Ahnung hat, vor allem, wenn man von außen darauf zugreifen möchte.
Der Charme der Fertig NAS liegt darin, das man, vor allem bei den kleineren Geräten sehr kompakte und sparsame Lösungen bekommt, die im Eigenbau so nur schwer zu realisieren sind.

Denn eine Sicherheitslücke bedeutet ja letztlich nichts anderes, als das der Hersteller ein kaputtes Produkt ausgeliefert hat.

Naja, manche Lücken sind vielleicht auch erst im Laufe der Zeit reingekommen (und dafür andere Lücken gefixt worden). Das Denkmuster von „analogen“ Produkten auf Software zu übertragen funktioniert nur bedingt.

Die Notwendigkeit von Updates ergibt sich aus mangelnder Qualitätssicherung.

So einfach ist es leider auch nicht.

• Angriffstechniken auf Software entwickeln sich ständig weiter, heute gibt es Verfahren, die vor ein paar Jahren noch garnicht bekannt waren. D.h. man konnte auch keine Tests darauf machen.
• Kein System besteht heute mehr aus komplett in-House entwickelter Software, wie es vor 30 Jahren oft noch der Fall war. Ein Synology NAS besteht zum größten Teil aus bekannten Open Source Projekten, z.B. dem Linux Kernel, Samba, usw. Synology muss sich da zu erheblichen Teilen auf das QM der Upstream Projekte verlassen, so wie es alle anderen auch machen, am Ende auch die Leute die sich ihr NAS selber bauen.

 

[andy_m4]

Naja, manche Lücken sind vielleicht auch erst im Laufe der Zeit reingekommen

Ja. Sicher. Wenn man neue Funktionen hinzufügt ist das so. Aber die gibts ja vermutlich eher nur bei neuen Betriebssystemversionen.
Viele Bugs dürften auch schon ab Kaufzeitpunkt drin gewesen sein.

Angriffstechniken auf Software entwickeln sich ständig weiter, heute gibt es Verfahren, die vor ein paar Jahren noch garnicht bekannt waren. D.h. man konnte auch keine Tests darauf machen.

Ja. Sicher. Aber viele Bugs sind eben eher aus der Kategorie "hätte man durchaus vermeiden können".

Kein System besteht heute mehr aus komplett in-House entwickelter Software, wie es vor 30 Jahren oft noch der Fall war. Ein Synology NAS besteht zum größten Teil aus bekannten Open Source Projekten, z.B. dem Linux Kernel, Samba, usw. Synology muss sich da zu erheblichen Teilen auf das QM der Upstream Projekte verlassen

Das ist ja die dümmste Ausrede überhaupt. Wenn ich externe Dinge mit rein nehme, bin ich ja deshalb nicht automatisch aus jeglicher Verantwortung raus. Wenn ich beim Bäcker Brötchen kaufe und ne Lebensmittelvergiftung kriege, dann kann sich der Bäcker ja auch nicht rausreden mit "Das Mehl hab ich nur zugekauft. Da kann man nix machen."
Eigentlich ist es eher umgekehrt. Nu hat man dank Open-Source schon viel weniger Entwicklungsarbeit, als man sonst hätte und spart sich dann noch mal gründlich drüber zu gucken und das entsprechend zu checken.

 

[TomH22]

Das ist ja die dümmste Ausrede überhaupt. Wenn ich externe Dinge mit rein nehme, bin ich ja deshalb nicht automatisch aus jeglicher Verantwortung raus.

Nein das nicht. Aber es ist faktisch rein vom Aufwand garnicht möglich, jede benutzte Software nochmal selber z.B. einem Code Review zu unterziehen. Msn kann z.B. die vom Projekt mitgelieferte Testsuite selber ausführen, Integrationstests machen, usw.

Klar ist z.B. Synology am Ende für Ihr Produkt verantwortlich. Aber mehr als Upstream Patches möglichst schnell weiterzugeben, können sie auch nicht machen.
Genau wie es jeder Hersteller eines Android Handys oder auch Linux Distributoren machen.

Wenn ich beim Bäcker Brötchen kaufe und ne Lebensmittelvergiftung kriege, dann kann sich der Bäcker ja auch nicht rausreden mit "Das Mehl hab ich nur zugekauft. Da kann man nix machen."

Auch der Bäcker verlässt sich z.B. darauf das die Lebensmittelüberwachung den Hersteller überwacht. Oder glaubst Du, der Bäcker schickt eine Probe vom Mehl jedes Mal ins Labor? Großbäcker vielleicht schon.

Der Arzt, der Dir ein Medikament verschreibt verlässt sich auch auf die Angaben des Herstellers, und das die Zulassungsbehörden ihre Arbeit gemacht haben.

Nu hat man dank Open-Source schon viel weniger Entwicklungsarbeit, als man sonst hätte und spart sich dann noch mal gründlich drüber zu gucken und das entsprechend zu checken.

Die meisten heutigen Softwaresysteme wären ohne Open Source garnicht denkbar. Ich habe Entwicklung schon zu Zeiten angefangen, wo man z.B. für alles noch ein SDK für mindestens 4 stellige Beträge kaufen musste, und auch 3d party Libraries, z.B. für Datenbanken kostenpflichtig war. Damals hat man notgedrungen viel selber gemacht. Die Qualität war in Summe viel schlechter als heute, aber die Probleme andere. Früher war wirklich Stabilität ein echtes Problem, aber Security mangels Vernetzung kein so großes Problem. Heute ist es genau umgekehrt.

 

[andy_m4]

Aber es ist faktisch rein vom Aufwand garnicht möglich, jede benutzte Software nochmal selber z.B. einem Code Review zu unterziehen.

Naja. Aber auch das ist letztlich ne Ausrede. Wenn ich nicht fähig bin (aus was für Gründen auch immer) ein Produkt zu bauen, dann sollte ich es vielleicht besser lassen.
Um noch mal auf das Bäckerbeispiel zurück zu kommen. Wenn der nur gesundheitsgefährdenden Produkte herstellen kann, dann würde ja auch niemand auf die Idee kommen zu sagen: "Ja. Aber wir lassen das den trotzdem mal machen, sonst hätten wir ja gar keine Brötchen".

Es hat sich in der IT-Branche (das betrifft ja nicht nur einzelne Hersteller) eine Kultur etabliert, wo wir Fehler einfach tolerieren. Also nicht einfach nur "kann mal passieren"-Fehler, sondern das ist ja systematisch. Sonst wären die Probleme ja auch nicht so weit verbreitet. Auf der anderen Seite haben wir eine hohe Abhängigkeit von dieser Technik. Und dafür ist der Krempel einfach zu fragil.

Auch der Bäcker verlässt sich z.B. darauf das die Lebensmittelüberwachung den Hersteller überwacht. Oder glaubst Du, der Bäcker schickt eine Probe vom Mehl jedes Mal ins Labor?

Ja. Aber diese Überwachung haben wir ja im Bereich Software nicht. Gibt ja keine Behörde die sich Open-Source-Software anguckt und dann sagt "iss unbedenklich".

Und ich verstehe ja auch das Dilemma. Denn wann immer sich ein Hersteller dazu entscheidet ein Review zu machen, hat er bei Open-Source immer das Problem das er die Kosten/Ressourcen dafür hat, aber alle anderen (inkl. der direkten Konkurrenz) davon profitieren.
Nur taugt das trotzdem nicht als Ausrede sich aus der Verantwortung zu stehlen.
Bei Projekten wie OpenSSL hat man das ja gesehen. Die haben alle fröhlich benutzt und Geld damit verdient, aber keiner hat mal geguckt: Was benutzen wir da eigentlich?
Die Folgen (z.B.Heartbleed) sind bekannt.

Damals hat man notgedrungen viel selber gemacht. Die Qualität war in Summe viel schlechter als heute, aber die Probleme andere.

Ja. Das stimmt. Die Qualität hat in gewisserweise zugenommen.

Trotzdem (oder genau deshalb) ist es ein Armutszeugnis was die IT-Industrie da zum Großteil abliefert. Die machen ja qualitativ gute Open-Source-Software sogar schlechter, weil sie da ihren eigenen Kram dranpappen oder irgendwelche Uralt-Libs reinziehen die anfällig sind. usw.
Da ist noch deutlich Luft nach oben.
Also selbst wenn man das Zugeständnis macht, das es vom Start weg nicht fehlerfrei sein kann, weil Lücken erst später bekannt werden und man auch nicht die Ressourcen hat im Vorfeld proaktiv danach zu suchen, gibt es trotzdem noch genügend Bugs. Und spätestens die lassen sich dann nicht mehr wegdiskutieren.

 

[TomH22]

Dein letzer Beitrag enthält eigentlich keine neuen Arguemente mehr, er ist eine ausführlichere Wiederholung des vorherigen.

Es hat sich in der IT-Branche (das betrifft ja nicht nur einzelne Hersteller) eine Kultur etabliert, wo wir Fehler einfach tolerieren.

Was wäre denn in Deinen Augen die Alternative?
Theoretisch wäre der einzige Ausweg nur formal verifizierte Soft- und Hardware zu verwenden. Damit könntest Du aber, Stand heute, keinen Beitrag für dieses Forum schreiben, denn ein vollständiger formal verifizierter Computer mitsamt OS und Web Browser existiert meines Wissens nicht.

Naja. Aber auch das ist letztlich ne Ausrede. Wenn ich nicht fähig bin (aus was für Gründen auch immer) ein Produkt zu bauen, dann sollte ich es vielleicht besser lassen.

Die Frage ist dann auch, was ist der Markt bereit zu zahlen. Die Leute hier im Forum meckern ja heute schon, dass ihnen z.B. Synology zu wenig Gegenwert für das Geld bietet. Synology Geräte gehen bei etwas über 100 EUR los, das sind günstige Consumer (oder bestenfalls “Prosumer“) Produkte. Und dann erwarten die Kunden ja noch 10 Jahre und mehr Updates (ohne extra Wartungsvertrag….).

Und eigentlich machen sie dafür einen verdammt guten Job, denn ich glaube nicht, das vielfach teurere „Enterprise“ Produkte weniger Bugs haben.

BTW: Der Heise Artikel hat ein Update, dass Synology das Problem wohl auch in 7.1 noch fixen will, hat aber keinen Zeitplan genannt.

 

[andy_m4]

Theoretisch wäre der einzige Ausweg nur formal verifizierte Soft- und Hardware zu verwenden.

Das wäre natürlich ein Ideal. Und ja. Das ist (zumindest im Augenblick) eher unrealistisch. Aber nur, weil man das Ideal nicht erreichen kann, ist das ja noch lange kein Grund die Situation nicht zu verbessern.

Was wäre denn in Deinen Augen die Alternative?

Möglicherweise geht das nur auf regulatorischer Ebene.
In anderen Bereichen haben wir ja auch Regulation. So gibt es Bauvorschriften. Oder Vorschriften zur Produktsicherheit usw.
Der Bereich Software ist da bisher vergleichsweise wenig reguliert.
Auch über sowas wie Produkthaftung könnte man nachdenken.

Die Frage ist dann auch, was ist der Markt bereit zu zahlen.

In der Tat. Genau darum wäre der regulatorische Ansatz ja vielleicht gar nicht so verkehrt. Weil sich da alle dran halten müssen und sich niemand einen (Preis-)Vorteil dadurch verschaffen kann, in dem er sein Produkt nicht sorgfältig entwickelt.

Synology Geräte gehen bei etwas über 100 EUR los, das sind günstige Consumer (oder bestenfalls “Prosumer“) Produkte. Und dann erwarten die Kunden ja noch 10 Jahre und mehr Updates (ohne extra Wartungsvertrag….).

Jaja. Bevor wir hier in Tränen ausbrechen, weil Synology von den fiesen, geizigen Kunden zu Tiefstpreisen genötigt werden: Die bezeichnen sich selbst als branchenführend und erfolgreich. Einen notleidenden Eindruck machen die jetzt nicht gerade. :-)

Und eigentlich machen sie dafür einen verdammt guten Job, denn ich glaube nicht, das vielfach teurere „Enterprise“ Produkte weniger Bugs haben.

Ja. Wie gesagt. Es geht mir hier nicht primär um Synology.

Der Heise Artikel hat ein Update, dass Synology das Problem wohl auch in 7.1 noch fixen will, hat aber keinen Zeitplan genannt.

Ja. Wow. Na wenigstens muss sich Synology nicht vorwerfen lassen, überstürzt gehandelt zu haben. ;-)