Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
News Synology-NAS: Sicherheitslücke erlaubt beliebige Code-Ausführung
- Ersteller Frank
- Erstellt am
- Zur News: Synology-NAS: Sicherheitslücke erlaubt beliebige Code-Ausführung
- Registriert
- März 2001
- Beiträge
- 9.229
Bei mir öffnet kein ftp-Verzeichnis, sondern der DL-Link bei der 218+ geht direkt auf https://global.download.synology.co...579.624760077.1645519235-840723151.1645519235Haplo schrieb:Frage an den Autoren, der ja die DiskStation 218+ explizit aufführt: Welche Datei soll man denn dann nehmen?
Finde es ja mehr als großartig, dass man in ein ftp-Verzeichnis geworfen wird, in dem Update-Dateien für alle Modelle liegen, nachdem man vorher ein Modell ausgewählt hat.
BrollyLSSJ
Vice Admiral Pro
- Registriert
- Juni 2007
- Beiträge
- 6.247
Da bin ich mal gespannt..mojo schrieb:Abe nun ein Ticket bei Synology eröffnet. Mal sehen was die dazu meinen.
Also ich musste es direkt per Synology Update 5 Seite laden. Musst nach deinem Modell suchen. Wenn es Zweifel gibt, welche Version du brauchst (z.B., wenn es die NAS mit 2 verschiedenen CPU Modellen gibt), kannst du hier sehen, welche CPU verbaut sein sollte.wahli schrieb:Wie komme ich zum aktuellen Update Version 6.2.4-25556-5?
catch 22
Rear Admiral
- Registriert
- Mai 2019
- Beiträge
- 5.615
Bei solchen Meldungen kann man tatsächlich nur hoffen, dass der eigene NAS Anbieter ebenfalls das ganze offen kommuniziert und nicht unter den Teppich kehrt, falls „es“ mal passiert und dass man dennoch nie solch eine Meldung lesen muss. Alles was darüber hinaus geht, ist Wunschdenkencanada schrieb:Damit wäre die Frage geklärt die zuletzt immer bei QNAP Themen auftrat, ja auch Synology hat Sicherheitslücken (wie jede Software). Jetzt können sich beide Seiten die Hand reichen und gut ist.
ich sollte mal wieder schauen… Asustor dürfte vermutlich auch mal wieder eine neue ADM Version für mein NAS rausgebracht haben… gefühlt alle 1 bis 2 Monate immer… real 1 bis 2 pro Quartal…
Recharging
Captain
- Registriert
- Dez. 2011
- Beiträge
- 4.090
Synology veröffentlich solche Dinge doch immer erst, wenn sie einen Fix haben.Topflappen schrieb:Zumal Synology auch gleich ne Lösung präsentiert bzw. in Aussicht gestellt haben, so fix ist QNAP definitiv nicht.
Bei QNAP hörst du davon früher, weil sie es zumeist öffentlich haben.
Das erzeugt dann bei Leuten verzerrte Wahrnehmungen.
Sind ja teils unterschiedliche Philosphien - kochen tun beide nur mit Wasser. 😉
wahli
Admiral
- Registriert
- Feb. 2010
- Beiträge
- 9.421
Danke für die Liste 👍BrollyLSSJ schrieb:Also ich musste es direkt per Synology Update 5 Seite laden. Musst nach deinem Modell suchen. Wenn es Zweifel gibt, welche Version du brauchst (z.B., wenn es die NAS mit 2 verschiedenen CPU Modellen gibt), kannst du hier sehen, welche CPU verbaut sein sollte.
Leider sieht man dort die Version nicht, sondern nur das Datum 15.2. Ich warte einfach mal etwas ab. Vermutlich kommt das Update automatisch. Mein NAS ist nicht aus dem Internet erreichbar bzw. nur per VPN, von daher eilt es nicht.
catch 22
Rear Admiral
- Registriert
- Mai 2019
- Beiträge
- 5.615
Meins auch nicht, dennoch verspreche ich mir dadurch nur einen minimalen Schutz, da z.B. mein Computer auch als Einfallstor dienen kann.wahli schrieb:Mein NAS ist nicht aus dem Internet erreichbar
BrollyLSSJ
Vice Admiral Pro
- Registriert
- Juni 2007
- Beiträge
- 6.247
Das ist Update 5, also 6.2.4 Build 25556 Update 5. Für die 7er Firmware gibt es ja noch kein Update.wahli schrieb:Leider sieht man dort die Version nicht, sondern nur das Datum 15.2.
Für DSM 7 musst du noch warten. Wenn du z.B. die DS920+ hast, musst du einfach nach 920 auf der Website suchen (das DS und RS und Co. lassen die weg).
Gibts da auch wieder Ärger von der chinesischen Regierung wie neulich bei Alibaba?
Acknowledgement
Qian Chen (@cq674350529) from Codesafe Team of Legendsec at Qi'anxin Group
1lluminate23
Lt. Commander
- Registriert
- Aug. 2018
- Beiträge
- 1.189
Etwas Laienhaft muss ich mal fragen "na und"? Meine DSPlay 2018 wird nur hinter der Fritz.Box! im lokalen Netz versorgt und hat keine laufenden Dienste in Internet. Theoretisch sind da selbst Passwörter sinnbefreit, da zumindest bei mir alles lokal genutzt wird. Mir hätte eigentlich ine Dockingstation gereicht
@1lluminate23
Stimmt schon, für den privaten 0815 NAS-Besitzer ist das keine große Lücke, da man zum Ausnutzen erstmal auf dem NAS angemeldet sein muss. Wer sein NAS allerdings offen im Internet hängen hat, mit Benutzerkonten ohne MFA, da wird es dann schon kritischer.
Für Firmen ist das auch nicht ohne. Denn immerhin kann damit das Rollen- und Rechtekonzept umgangen werden.
Stimmt schon, für den privaten 0815 NAS-Besitzer ist das keine große Lücke, da man zum Ausnutzen erstmal auf dem NAS angemeldet sein muss. Wer sein NAS allerdings offen im Internet hängen hat, mit Benutzerkonten ohne MFA, da wird es dann schon kritischer.
Für Firmen ist das auch nicht ohne. Denn immerhin kann damit das Rollen- und Rechtekonzept umgangen werden.
Euphoria
Admiral
- Registriert
- Apr. 2007
- Beiträge
- 9.124
wahli schrieb:Mein NAS ist nicht aus dem Internet erreichbar bzw. nur per VPN, von daher eilt es nicht.
So toll das für euch beide ist, eine NAS wird zum Teil angeschafft und auch darauf ausgelegt im Internet Dienste bereitzustellen. Sei es nun als "Private Cloud", E-Mail Server oder oder odercatch 22 schrieb:Meins auch nicht, dennoch verspreche ich mir dadurch nur einen minimalen Schutz, da z.B. mein Computer auch als Einfallstor dienen kann.
Somit muss auch in den Fällen die Sicherheit den höchstmöglichen Ansprüchen genügen.
Danke für die Antwort - das ist leider die gleiche Datei, die im Downloadcenter angeboten wird. Hier ist meine DS allerdings der Meinung, die Version sei älter oder gleich der installierten Version (in meinem Falle "Update 3").Frank schrieb:Bei mir öffnet kein ftp-Verzeichnis, sondern der DL-Link bei der 218+ geht direkt auf
Das ftp-Verzeichnis erscheint, wenn man in den ReleaseNotes (https://www.synology.com/en-global/releaseNote/DSM?model=DS218+#6_2) den angegeben Link klickt: https://archive.synology.com/downlo...85.1110644956.1645522219-136242298.1645522219 - da ist dann aber kein ds218+ dabei. Die Dateien sind aber alle deutlich kleiner, als die Downloadcenter-Version.
Egal, warte ich halt auf die automatische Verteilung ...
mdPlusPlus
Ensign
- Registriert
- Nov. 2020
- Beiträge
- 197
Bei mir läuft noch Update 3. Sobald ich versuche Update 5 manuell zu installieren, kriege ich die Meldung eine Downgrade wäre nicht möglich...
Edit: Mit dem Update von hier hat es geklappt: https://archive.synology.com/download/Os/DSM/6.2.4-25556-5
Edit: Mit dem Update von hier hat es geklappt: https://archive.synology.com/download/Os/DSM/6.2.4-25556-5
Zuletzt bearbeitet:
ElisaMüller
Cadet 4th Year
- Registriert
- März 2016
- Beiträge
- 73
Wofür brauche ich ein NAS, wenn ich es nicht ins Netzwerk einbinde? LAN Backups?hurga_gonzales schrieb:Alle haben sie Sicherheitslücken. Niemals würde ich eine herkömmliche NAS ans Internet bringen. Früher oder später sind sie alle dran mit Lücken, Ransomware oder sonstwas.
Ich habe doch genau ein NAS um eben nicht Dropbox und OneDrive nutzen zu müssen. Dieses "haltet die NAS vom Internet fern" halt ich darum für völlig am Thema vorbei.
100% sicher ist nie etwas (auch nicht Dropbox), es gelten die gleichen Regeln wie überall in der IT:
- Software immer aktuell halten
- 2fa oder public key
Jaytie
Lt. Commander
- Registriert
- Nov. 2007
- Beiträge
- 2.028
@.mojo Falls du noch Update 3 drauf hast kannst du nicht direkt auf Update 5. Verwirrenderweise meldet DSM aber dein Update ist zu alt. Das Gegenteil ist eigentlich der Fall.
Du musst erst manuell auf Update 4 und dann auf Update 5, dann sollte es gehen.
Danke für die News, Update(s) gerade eingespielt.
Du musst erst manuell auf Update 4 und dann auf Update 5, dann sollte es gehen.
Danke für die News, Update(s) gerade eingespielt.
Herdware
Fleet Admiral
- Registriert
- Okt. 2011
- Beiträge
- 17.898
jamesatlick schrieb:Wofür brauche ich ein NAS, wenn ich es nicht ins Netzwerk einbinde?
Im lokalen Netzwerk sollte es natürlich schon hängen. Geht wohl bei den meisten NAS auch nicht anders.
Aber es braucht halt nicht jeder private NAS-Nutzer Zugriff über das Internet.
Ich habe schon seit vielen Jahren alle "Datengrab"-Festplatten aus allen meinem Computern (Notebook, Gaming-PC, HTPC usw.) verbannt. Darin gibt es nur noch SSDs für Betriebssystem und Programme/Spiele.
Statt dessen landen alle Daten zentral auf meinem nur lokal erreichbaren NAS und von dort wird regelmäßig automatisch ein Backup auf eine USB-Festplatte gemacht.
Zwar nicht ganz so komfortabel wie eine persönliche Cloud-Lösung, die man auch unterwegs erreichen kann, aber immer noch besser, als die Daten verstreut und doppelt auf verschiedenen PCs zu haben. Mein Smart-TV und Smartphone können zwecks Streaming auch drauf zugreifen. usw.
- Registriert
- Sep. 2018
- Beiträge
- 3.476
Yep. Ich habe aber auch keinen Anwendungsfall, in welchem ich von unterwegs auf dort abgelegte Daten zugreifen müsste.jamesatlick schrieb:Wofür brauche ich ein NAS, wenn ich es nicht ins Netzwerk einbinde? LAN Backups?
Weihnachtsman91
Lt. Commander
- Registriert
- März 2010
- Beiträge
- 1.117
Ich nutze es beispielsweise mit Vaultwarden als Docker Container, um meiner Familie bessere Passwörter bieten zu können.ComputerJunge schrieb:Yep. Ich habe aber auch keinen Anwendungsfall, in welchem ich von unterwegs auf dort abgelegte Daten zugreifen müsste.
Das Problem ist, dass meine Mutter sonst immer so ein Passwort hat:
Abcdef6ab
Und allein dafür hängt meine NAS am Netz (Reverse Proxy, verwaltet durch ein anderes Gerät), um ihnen bequem sichere Passwörter und 2FA zu geben.
Wäre ja nicht das erste Mal, dass ihre Konten gehackt werden, darum habe ich die Reissleine gezogen und ihre PWs auf 40 Zeichen generisch umgestellt und 2FA eingepflegr.
Jetzt meckern sie zwar, sind aber gezwungen bessere Passwörter als Wörter aus dem Duden zu nutzen.
Ich weiß, kann man auch lokal bei ihnen machen, aber sie wohnen weit weg und wenn sie fragen/Probleme haben, kann ich diese besser lösen (zB MasterPW reset).
Sonst läuft noch mein WireGuard VPN darüber, sowie Kontakte Sync und Kalender und WebDAV.
Und einen eigenen Server zu betreiben, sind mir die Stromkosten zu viel.
Ich würde gern, aber es ist sehr teuer..
Wie akut ist die Panikmache denn?
Für meine 220+ steht noch kein Update bereit (verharrt bei Update 2):
https://www.synology.com/en-global/releaseNote/DSM?model=DS220+#7_0
Was bedeutet denn "angemeldete Angreifer", hat er sich also zuvor korrekt an der Synology authentifizieren müssen?
Für meine 220+ steht noch kein Update bereit (verharrt bei Update 2):
https://www.synology.com/en-global/releaseNote/DSM?model=DS220+#7_0
Was bedeutet denn "angemeldete Angreifer", hat er sich also zuvor korrekt an der Synology authentifizieren müssen?
Ähnliche Themen
- Antworten
- 72
- Aufrufe
- 21.832