ComputerBase Menü
Aktuelles

News Synology-NAS: Sicherheitslücke erlaubt beliebige Code-Ausführung

Frank

Frank

Chefredakteur
Teammitglied
Registriert
März 2001
Beiträge
9.153
Eine Sicherheitslücke in Synologys NAS-Betriebssystem DiskStation Manager (DSM) erlaubt es angemeldeten Angreifern, beliebigen Code auf dem Gerät auszuführen. Ein erstes Update, mit dem Synology die als wichtig eingestufte Sicherheitslücke schließt, steht bereit, bezieht sich aber nur auf Geräte mit DiskStation Manager 6.2.

Zur News: Synology-NAS: Sicherheitslücke erlaubt beliebige Code-Ausführung
 
  • Gefällt mir
Reaktionen: H3llF15H, BorstiNumberOne, Mazrim_Taim und 5 andere
Damit wäre die Frage geklärt die zuletzt immer bei QNAP Themen auftrat, ja auch Synology hat Sicherheitslücken (wie jede Software). Jetzt können sich beide Seiten die Hand reichen und gut ist.
 
  • Gefällt mir
Reaktionen: Engaged, tritratrullala, MidwayCV41 und 17 andere
canada schrieb:
Damit wäre die Frage geklärt die zuletzt immer bei QNAP Themen auftrat, ja auch Synology hat Sicherheitslücken (wie jede Software). Jetzt können sich beide Seiten die Hand reichen und gut ist.
Zum Vergrößern anklicken....
Bloß das Synology wesentlich schneller fixed.
 
  • Gefällt mir
Reaktionen: nikky, elpronto, Dark_Soul und 6 andere
"A vulnerability allows remote authenticated users to execute arbitrary commands via a susceptible version of DiskStation Manager (DSM)."

Der Angreifer braucht also einen angemeldeten User? Es ist also eine Privilege Escalation?

Und - startet die Synology nach dem Update neu? Wenn sehr viele Systeme zugreifen, ist ein Neustart nicht "einfach so" möglich.
 
@Der_Picknicker , woran machst Du das fest? Denn das Bekanntwerden von Sicherheitslücken ist nicht gleich das Datum an denen die Hersteller davon erfahren. Ich hatte schon Qnap- Nas gehabt und aktuell nutrze ich eine Synology. Ja, die Software ist bei Synology etwas besser. Aber so riesen Unterschiede gibt es da nicht.
Ich sehe es wie canada.
 
  • Gefällt mir
Reaktionen: DFFVB, CableGuy82 und Recharging
Der_Picknicker schrieb:
Bloß das Synology wesentlich
Zum Vergrößern anklicken....
Oder gehässig anndie grosse Glocke hängt ... Kann man sehen wie man will denn zaubern kann Synology auch nicht
Ergänzung ()

Hagen_67 schrieb:
Aber so riesen Unterschiede gibt es da nicht.
Ich sehe es wie canada.
Zum Vergrößern anklicken....
Ich hab oft das Gefühl das könnte auch eine Firma sein , die Software ist Recht gleich , bringt der eine eine neue Version dann auch der andere .... Alles Recht ähnlich , es sind zwar getrennte Unternehmen aber manchmal könnte man meinen es ist wie mm und Saturn :)
 
  • Gefällt mir
Reaktionen: MidwayCV41 und CableGuy82
Vielen Dank für die News. Dann will ich mal die NAS in der Firma per Hand aktualisieren, da mit Update 5 noch nicht angeboten wird.
 
canada schrieb:
Damit wäre die Frage geklärt die zuletzt immer bei QNAP Themen auftrat, ja auch Synology hat Sicherheitslücken (wie jede Software). Jetzt können sich beide Seiten die Hand reichen und gut ist.
Zum Vergrößern anklicken....

Alle haben sie Sicherheitslücken. Niemals würde ich eine herkömmliche NAS ans Internet bringen. Früher oder später sind sie alle dran mit Lücken, Ransomware oder sonstwas.
 
  • Gefällt mir
Reaktionen: pix0n, Akronos und jabberwalky
beim versuch des manuellen updates erhalte ich dies:
syn.PNG

neuanmeldung und neustart bringt das selbe ergebnis

hat das noch wer?
 
  • Gefällt mir
Reaktionen: mdPlusPlus
Frage an den Autoren, der ja die DiskStation 218+ explizit aufführt: Welche Datei soll man denn dann nehmen?
Finde es ja mehr als großartig, dass man in ein ftp-Verzeichnis geworfen wird, in dem Update-Dateien für alle Modelle liegen, nachdem man vorher ein Modell ausgewählt hat. Nur leider ist keine Datei mit dem Namen ds218+ dabei! Es gibt nur ds218, ds218j und ds218play ... Wenn man über das ebenfalls verlinkte Download-Center geht, gibt es nur eine nicht näher versionierte 25556, die beim Einspielen aber als älter oder gleich abgelehnt wird (bin auf Update 3 - warum auch immer die 4 nicht automatisch installiert wurde).
Wenn ich ja nicht ansonsten mit Synology zufrieden wäre - das ist mal echt Benutzerführung von vor 20 Jahren ...
 
  • Gefällt mir
Reaktionen: Dark_Soul
.mojo schrieb:
hat das noch wer?
Zum Vergrößern anklicken....
So direkt nicht. Ich bekam nur ein "die DSM Version, die Sie installieren wollen, ist älter als die installierte Version" (sinngemäß). Ich musste die Firmware von der speziellen Update 5 Seite runterladen, nicht vom normalen Download Bereich. Der normale Download Bereich bot bei mir noch Update 3 (oder die originale 25556 ohne Update) an. Du musst da mal nach 920 suchen. Das sollte dann das richtig Update sein:

1645523795468.png


Frank schrieb:
Sofern das NAS-System noch kein passendes Update über die Web-Oberfläche zur Installation anbietet, können Nutzer über das Download Center von Synology nach der aktuellsten Firmware-Version suchen, diese herunterladen und manuell auf dem NAS aktualisieren.
Zum Vergrößern anklicken....
Bei mir wurde da nur die normale 6.2.4 Build 255556 geladen (oder mit maximal Update 3, aber nicht Update 5). Das Update 5 gibt es hier für alle NAS. Eventuell solltet Ihr die News noch entsprechend ergänzen.
 
  • Gefällt mir
Reaktionen: racer3
BrollyLSSJ schrieb:
So direkt nicht. Ich bekam nur ein "die DSM Version, die Sie installieren wollen, ist älter als die installierte Version" (sinngemäß). Ich musste die Firmware von der speziellen Update 5 Seite runterladen, nicht vom normalen Download Bereich. Der normale Download Bereich bot bei mir noch Update 3 (oder die originale 25556 ohne Update) an. Du musst da mal nach 920 suchen. Das sollte dann das richtig Update sein:

Anhang anzeigen 1190196
Zum Vergrößern anklicken....

Mit genau dem habe ich es ebenfalls versucht, leider selbes ergebnis.
 
Hier in Taiwan ist die 6.2.4-25556-5 bereits direkt über die Web-Oberfläche verfügbar. Die dazugehörige DS213+ hat sie sich gerade gezogen.

Übrigens kein Neustart notwendig.
 
.mojo schrieb:
Mit genau dem habe ich es ebenfalls versucht, leider selbes ergebnis.
Zum Vergrößern anklicken....
Mal versucht die NAS mal neu zu starten? Eventuell ist die ja zu lange an. Also wäre so jetzt meine Idee.
 
BrollyLSSJ schrieb:
Mal versucht die NAS mal neu zu starten? Eventuell ist die ja zu lange an. Also wäre so jetzt meine Idee.
Zum Vergrößern anklicken....
ja, ich habe neu angemeldet, das teil komplett rebootet und testweise sogar den buildin admin reaktiviert und es mit dem versucht. Immer das selbe.
Ich habe dann noch das Protokoll-Center (Log-Center) installiert, leider loggt das dazu auch kein event..
HAbe nun ein Ticket bei Synology eröffnet. Mal sehen was die dazu meinen.

Die Fehlermeldung ist halt leider auch so dermaßen unspezifisch dass googlen danach auch nichts hergibt..
 
canada schrieb:
Damit wäre die Frage geklärt die zuletzt immer bei QNAP Themen auftrat, ja auch Synology hat Sicherheitslücken (wie jede Software). Jetzt können sich beide Seiten die Hand reichen und gut ist.
Zum Vergrößern anklicken....
Es gibt keine sichere Software FERTIG!
Entscheidend ist die Reaktion und hier reagiert Synology einfach schneller. Das haben die in der Vergangenheit oft genug gezeigt.

Die Lücke sehe ich jetzt nicht so kritisch, da der Angreifer einen angemeldeten Benutzer braucht. Wer kein MFA einrichtet ist selber schuld. Bei meiner NAS gibt es MFA Zwang für jeden!
 
  • Gefällt mir
Reaktionen: n8mahr und bikkje
Auf meinem DS215j läuft noch Version 6.2.4-25556-3. Es wird kein Update beim NAS angeboten. Im Downloadcenter von Synology werden mir nur manuelle Images für DSM 7 angezeigt:
1645525256991.png

Wie komme ich zum aktuellen Update Version 6.2.4-25556-5?
 
LucasAppelmann schrieb:
"A vulnerability allows remote authenticated users to execute arbitrary commands via a susceptible version of DiskStation Manager (DSM)."

Der Angreifer braucht also einen angemeldeten User? Es ist also eine Privilege Escalation?
Zum Vergrößern anklicken....

Danke. Bei mir ist der DSM Zugang nur im internen Netzwerk möglich. Ich bleibe also ganz entspannt.
 
  • Gefällt mir
Reaktionen: Lutscher
Gott bin ich erleichtert, das der heilige Gral der NAS OS auch einen gravierenden Fehler hat.
Wobei die gefühlte Sicherheit mit QNAP in der letzten Zeit schon gut Bergab gegangen ist, also nur jammern auf hohem "Niveau". Zumal Synology auch gleich ne Lösung präsentiert bzw. in Aussicht gestellt haben, so fix ist QNAP definitiv nicht.
 
  • Gefällt mir
Reaktionen: CableGuy82
Euphoria schrieb:
Die Lücke sehe ich jetzt nicht so kritisch, da der Angreifer einen angemeldeten Benutzer braucht. Wer kein MFA einrichtet ist selber schuld. Bei meiner NAS gibt es MFA Zwang für jeden!
Zum Vergrößern anklicken....

auch für Dienstkonten? zb das konto meines Plex Servers. Wie funktioniert das mit MFA?


edit: nvm, bin dumm, gilt natürlich nur für die weboberfläche, nicht für CIFS oä.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Frank
News Intel-Chipsätze: Sicherheitslücke erlaubt beliebige Code-Ausführung
2 3 4
Antworten
72
Aufrufe
21.826
MOS1509
MOS1509
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz