ComputerBase Menü
Aktuelles

News Synology und QNAP: Netatalk für Apple-Protokolle mit Sicherheitslücken

Frank

Frank

Chefredakteur
Teammitglied
Registriert
März 2001
Beiträge
9.213
  • Gefällt mir
Reaktionen: aid0nex, Mr Peanutbutter und BrollyLSSJ
Generell sollte man auf einer NAS Protokolle, die man nicht nutzt, deaktivieren.

Das Problem ist, dass NAS oft so ziemlich alle Protokolle, auch veraltete, sprechen und die meisten Nutzer auch auf Verdacht alles aktivieren (oder die Voreinstellungen sind hinreichend dämlich).
 
  • Gefällt mir
Reaktionen: xXQuadXx, Roesi, aid0nex und 2 andere
Asustor ist ebenfalls betroffen und bereits dran, sowohl das aktuelle ADM 4.0, wie auch das alte ADM 3.5

AS-2022-006: Netatalk​

2022-04-26



SeverityStatus
ImportantOngoing

Statement

The Netatalk development team disclosed multiple fixed vulnerabilities affecting earlier versions of the software on the latest release of Netatalk 3.1.13: CVE-2021-31439, CVE-2022-23121, CVE-2022-23122, CVE-2022-23123, CVE-2022-23124, CVE-2022-23125 and CVE-2022-0194.

CVE-2021-31439 had been fixed on ADM 3.5.7 and ADM 4.0. Updates with Netatalk 3.1.13 will be released as soon as possible.


Affected Products

ProductSeverityFixed Release Availability
ADM 4.0ImportantOngoing.
ADM 3.5ImportantOngoing.

Detail

  • CVE-2021-31439
    • Severity: Important
    • This vulnerability allows network-adjacent attackers to execute arbitrary code on affected installations of Synology DiskStation Manager. Authentication is not required to exploit this vulnerability. The specific flaw exists within the processing of DSI structures in Netatalk. The issue results from the lack of proper validation of the length of user-supplied data prior to copying it to a heap-based buffer. An attacker can leverage this vulnerability to execute code in the context of the current process. Was ZDI-CAN-12326.
  • CVE-2022-23121, CVE-2022-23122, CVE-2022-23123, CVE-2022-23124, CVE-2022-23125, CVE-2022-0194
    • Severity: Important
    • ** RESERVED ** This candidate has been reserved by an organization or individual that will use it when announcing a new security problem. When the candidate has been publicized, the details for this candidate will be provided.


Quelle: https://www.asustor.com/de/security/security_advisory_detail?id=7
 
  • Gefällt mir
Reaktionen: c9hris und BrollyLSSJ
H3llF15H schrieb:
Die ganzen Meldungen über Sicherheitslücken im NAS wollen echt nicht abreißen.

Gut ist, dass sie gefunden werden. Schlecht ist, dass es immer einen faden Beigeschmack hat.
Zum Vergrößern anklicken....
Ein NAS ist nun mal eine eigenständige Hardware mit einem Betriebssystem (also quasi ein eigener PC). Natürlich gibt es da Sicherheitslücken.
 
  • Gefällt mir
Reaktionen: Dark_Soul und Recharging
Habe es gestern ohne Probleme über die Homepage (= *.pat) manuell eingespielt und läuft. Bei dieser Gelegenheit werden noch weitere Pakete aktualisiert d.h. nach dem Patchen nochmals auf weitere Updates kontrollieren.

Respekt auch für die schnelle Reaktion von Synology. Sonst sind sie doch etwas langsamer als bspw. QNAP.
 
AFP sollte generell deaktiviert sein. Seit Mavericks ist AFP eigentlich veraltet (deprecated) und im Legacy-Mode sprich es gibt keine Weiterentwicklung mehr und sollte für SMB ausgetauscht werden.

rysy schrieb:
Respekt auch für die schnelle Reaktion von Synology. Sonst sind sie doch etwas langsamer als bspw. QNAP.
Zum Vergrößern anklicken....

Was? Genau andersherum wird ein Schuh draus :D Es kommt einem nur so vor weil der Auto-Update seit einigen Jahren nicht überall gleichzeitig alles lädt und installiert aber idR ist Synology deutlich schneller als QNAP, vor allem wenn es um Sicherheitslücken geht.
 
  • Gefällt mir
Reaktionen: IceKillFX57, Dark_Soul, Mr Peanutbutter und eine weitere Person
H3llF15H schrieb:
Die ganzen Meldungen über Sicherheitslücken im NAS wollen echt nicht abreißen.
...
Zum Vergrößern anklicken....
Liegt halt auch daran, dass da ein Haufen fremde Sachen implementiert werden, um den Nutzern einen riesigen Blumenstrauß an Funktionen und Optionen zu bieten. Somit ist so ein NAS mit seinem eigenem OS und den ganzen Tools diverser Drittanbieter natürlich ein Schmelztiegel für solche Probleme. Bleibt leider nicht aus und man kann nur hoffen, dass der Anbieter des eigenen NAS solche Meldungen immer sehr ernst nimmt, schnell & erfolgreich angeht und für die Produkte auch sehr lange diesen entsprechenden Support anbietet. Schließlich kosten NAS Lösungen ja doch ein paar Cent mehr, als ein Selbstbau, bei dem man sich dann aber selber um die Sicherheit kümmern muss.
 
  • Gefällt mir
Reaktionen: H3llF15H und Cool Master
H3llF15H schrieb:
Die ganzen Meldungen über Sicherheitslücken im NAS wollen echt nicht abreißen.
Zum Vergrößern anklicken....
Ist halt ein komplettes OS, so wie Windows oder Debian, Ubuntu.

Selbst Spezialisten mit einer einzigen Aufgabe wie Router sind ja nicht gefeit von Problemen.

Andererseits, AFP wird soweit ich weiss selbst von Apple nicht mehr genutzt und wie appletypisch war es außerhalb von Apple nie ein großes Ding.

Insofern halte ich das Risiko in diesem Fall für überschaubar. Mich wundert eher, dass man das immer noch unterstützt statt wie SMB1 abzusägen.
 
rysy schrieb:
Respekt auch für die schnelle Reaktion von Synology.
Zum Vergrößern anklicken....
naja, die lücke in netatalk wurde bereits vor 5 wochen geschlossen (und man sollte annehmen, dass diese firmen über interne verteiler vorher wussten, dass da ein update kommt). dafür, dass man da im grunde nur einmal das image mit einer aktualisierten komponente neu bauen muss, hat das ziemlich lange gedauert.
 
  • Gefällt mir
Reaktionen: Iarn und Aldaris
Cool Master schrieb:
Was? Genau andersherum wird ein Schuh draus :D Es kommt einem nur so vor weil der Auto-Update seit einigen Jahren nicht überall gleichzeitig alles lädt und installiert aber idR ist Synology deutlich schneller als QNAP, vor allem wenn es um Sicherheitslücken geht.
Zum Vergrößern anklicken....
Ohne jetzt eine Diskussion anfangen zu wollen: Bei QNAP kommen öfters Meldungen zu Sicherheitslücken, die gepatched werden müssen und eigentlich auch auf Synology zutreffen müssten(!). Dort dauert es doch etwas länger, bis Updates bereitstehen. Ist aber nur meine Beobachtung.
 
  • Gefällt mir
Reaktionen: DFFVB, H3llF15H und Recharging
Laut QNAP sind die Betriebssystemversionen QTS 5.0.x und neuer, 4.5.4 und neuer, 4.3.6 und neuer, 4.3.4 und neuer, 4.3.3 und neuer 4.2.6 und neuer sowie QuTS hero h5.0.x und neuer, QuTS hero h4.5.4 und neuer und QuTScloud c5.0.x von den Lücken betroffen.
Zum Vergrößern anklicken....
Danke für die Info. Dann warte ich mal für ein Update von QTS 4.3.3 für meine EoL NAS.

catch 22 schrieb:
AS-2022-006: Netatalk
Zum Vergrößern anklicken....
@ComputerBase
Eventuell könntet Ihr den Artikel mit den Infos von catch 22 zu ASUSTor Geräten ergänzen.
 
0x8100 schrieb:
dafür, dass man da im grunde nur einmal das image mit einer aktualisierten komponente neu bauen muss,
Zum Vergrößern anklicken....

Ganz so einfach ist es nicht ;) Da muss erst mal geschaut werden ob nach wie vor alles läuft oder ob es da zu Kollisionen mit anderen Programmen kommt. Je nach Team-Große sind da 5 Wochen durchaus gut.

rysy schrieb:
und eigentlich auch auf Synology zutreffen müssten(!).
Zum Vergrößern anklicken....

Warum das? Dir ist klar, dass DSM eine eigene Entwicklung von Synology ist und mit QNAP's OS nichts zu tun hat. Nur weil die zwei zum Teil die gleiche SW haben muss das nichts bedeuten. In der Regel liegt es ja nicht an der SW selbst sondern Abhängigkeiten und die können durchaus anders sein.

Hier mal eine Liste von Synology:

https://www.synology.com/de-de/security/advisory

und hier QNAP:

https://www.qnap.com/de-de/security-advisories

Sieht für mich relativ gleich aus :)
 
  • Gefällt mir
Reaktionen: xmimox und adnigcx
AFP wird doch eh nicht mehr weiter entwickelt. NFS oder SMB nutzen.
 
  • Gefällt mir
Reaktionen: Cool Master
Dachte ich mir auch. Bei mir läuft nur noch SMB bei Synology.
 
AFP ist wird bei Apple schon lange nicht mehr genutzt, das sollte permanent deaktiviert sein und könnte auch mal langsam komplett aus den NAS verschwinden. Man nutzt entweder SMB oder NFS für File- und iSCSI, FC für Blockservice.
 
  • Gefällt mir
Reaktionen: Nachtviech
Cool Master schrieb:
Ganz so einfach ist es nicht ;) Da muss erst mal geschaut werden ob nach wie vor alles läuft oder ob es da zu Kollisionen mit anderen Programmen kommt. Je nach Team-Große sind da 5 Wochen durchaus gut.
Zum Vergrößern anklicken....
naja, netatalk 3.1 gibt es jetzt seit ziemlich genau 8 jahren. die ganzen point-releases seit dem sind nur bugfix-releases, d.h. an der api hat sich nichts geändert und sollte somit auch keine auswirkungen auf andere bestandteile haben. zudem sollte man annehmen, dass die da seit langem automatisierte tests haben und sich da kein team hinsetzen muss, um das zu prüfen. wenn es lücken in einem netzwerkdienst gibt, die dem angreifer root-rechte ermöglichen, erwarte ich bei einem kommerziellen produkt eigentlich schon response-zeiten < 5 wochen.
 
  • Gefällt mir
Reaktionen: Cool Master
Artikel-Update: Auch Asustor ist von den Lücken betroffen und verspricht schnellstmöglich Updates für den Asustor Data Master (ADM). Betroffen sind sowohl der ADM 3.5 als auch 4.0, ein Update gibt es bislang für keine der beiden Versionen.

Die Redaktion dankt catch 22 für den Hinweis.
 
  • Gefällt mir
Reaktionen: BrollyLSSJ und catch 22
rsync, SMB3 und noch Synology Drive und Photo sind bei mir aktiviert.
Und das NAS natürlich hinter einem VPN.

Am Anfang habe ich auch wie wild jegliche Protokolle und Apps eingerichtet. Am Ende schafft man dafür nur ein riesen Scheunentor, insb. wenn dann mit root-Rechten Ransomware Zugriff auf das NAS bekommt. Da reicht es auch aus wenn irgendein veralte IoT-Gerät / WiFi-Steckdose / whatever im Netzwerk infiziert wurde ;)
 
Cool Master schrieb:
AFP sollte generell deaktiviert sein. Seit Mavericks ist AFP eigentlich veraltet (deprecated) und im Legacy-Mode sprich es gibt keine Weiterentwicklung mehr und sollte für SMB ausgetauscht werden.
Zum Vergrößern anklicken....
Das ist schon richtig, aber:
1. Ältere Macs sprechen nur SMB1 oder AFP
2. Generell wirkt die SMB Implementierung auf Macs sehr gepfuscht (ist auch nix dokumentiert), da ist AFP einfach um vieles stabiler, insbesondere bei Time-machine, auto mapped shares und granularen ACLs

SMB auf Macs ergibt erst Sinn, wenn Apple nicht mehr auf seine eigene Implementierung setzt oder diese mal ernsthaft weiterentwickelt
 
  • Gefällt mir
Reaktionen: Forum-Fraggle
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz