News Synology und QNAP: Netatalk für Apple-Protokolle mit Sicherheitslücken

[ElisaMüller]

Ist halt ein komplettes OS, so wie Windows oder Debian, Ubuntu.

Es ist sogar noch schlimmer. Da steckt eigentlich ein ziemlich solides Linux dahinter. Dann kommt QNAP und baut Unmengen an scripts und anderen Quatsch ein.

Bei jedem normalen Linux kann ich eigentlich ohne Probleme die Passwort authentifizierung per SSH deaktivieren. Ein file anpassen genügt. Sollte meiner Meinung nach der default sein und ist es auch schon bei einigen Distributionen.

Offsite NAS, dank IPv6 ohne NAT ohne VPN problemlos aus der Ferne per SSH ansteuern und rsync Backup machen. Dank public key auth sicher und theoretisch bräuchte es noch nicht mal eine brute force protection. Bei einem normalen Linux alles kein Problem.

Bei QNAP? Keine Chance. Da wird bei jedem boot ein script ausgeführt, welches noch eines ausführt und dann noch eines... Nach unzähligen Mails mit dem Support: Ja doof, haben wir nicht im GUI, kann es als feature request mal intern weiterleiten.

Sorry, aber wie ernst nimmt QNAP das Thema Sicherheit, wenn noch nicht mal solche basics funktionieren?

2. Generell wirkt die SMB Implementierung auf Macs sehr gepfuscht (ist auch nix dokumentiert), da ist AFP einfach um vieles stabiler, insbesondere bei Time-machine, auto mapped shares und granularen ACLs

SMB ist auf Mac Pfusch, AFP ist aber noch übler und weniger stabil. TimeMachine wird offiziell von Apple SMB anstelle von AFP empfohlen. TimeMachine funktioniert einfach nicht gut übers Netzwerk. Apple interessiert sich nicht für TimeMachine.

 

[Wattwanderer]

Ohne jetzt eine Diskussion anfangen zu wollen: Bei QNAP kommen öfters Meldungen zu Sicherheitslücken, die gepatched werden müssen und eigentlich auch auf Synology zutreffen müssten(!). Dort dauert es doch etwas länger, bis Updates bereitstehen. Ist aber nur meine Beobachtung.

Ich betreue Linuxe, Synology und QNAP Kisten.

Wenn Sicherheitslücken bei Linux bekannt werden schwant einem ob das ein Problem bei den NAS sein könnte.

Bei Synology wird ohne viel Aufhebens rechtzeitig Updates ausgerollt, bei QNAP gehen Meldungen über Desaster durch und dann kommen Updates.

Ich würde mich als IT Nachrichtenjunkie betrachten und wenn ich dann Wortmeldungen sehe, dass QNAP weniger Katastrophenmeldungen produzieren würde als Synology dann liegt das so weit weg von meiner Wahrnehmung, dass ich fast einen Eingriff der QNAP Marketingabteilung vermuten muss.

 

[SamGecko]

Es ist leider immer wieder zu sehen, daß in Artikeln hier Abkürzungen, die nicht unbedingt jeder kennt, verwendet werden. Hier z.B. AFP (Apple Fileing Protocol). Ist es den Schreiberlingen hier wirklich zu viel, solche Sachen kurz zu beschreiben? Brecht ihr euch da einen Zacken aus der Krone?

 

[Cool Master]

zudem sollte man annehmen, dass die da seit langem automatisierte tests haben und sich da kein team hinsetzen muss, um das zu prüfen.

MS hatte erst Mitarbeiter, die von automatischen Tests abgelöst wurden und nun sind wieder Mitarbeiter dabei Denke in einem der Punkte ist auch Synology Aber ja generell hast du natürlich recht es sollte schneller gehen aber ich kann es auch verstehen wenn es nicht direkt passiert.

1. Ältere Macs sprechen nur SMB1 oder AFP

Das ist korrekt aber die sollte man langsam aber sicher mal Upgraden. Monterey ist auf Rechner ab ~2013/14/15 lauffähig. Für alle älteren würde ich Linux vorschlagen, da es unter den alten macOS bzw. OS X Versionen kein Support und Sicherheitsupdates gibt.

2. Generell wirkt die SMB Implementierung auf Macs sehr gepfuscht (ist auch nix dokumentiert), da ist AFP einfach um vieles stabiler, insbesondere bei Time-machine, auto mapped shares und granularen ACLs

Kann ich nicht bestätigen. Mit meiner DS1621+ läuft Time Machine 1a über SMB. Ich hatte eher genau das Gegenteil als Erfahrung. Mit AFP ging vieles nicht. Auch SMB Shares gehen 1a.

Ist es den Schreiberlingen hier wirklich zu viel, solche Sachen kurz zu beschreiben?

Man kann a. auch fragen oder b. selber aktiv werden und einfach mal 10 Sekunden in einer Google Suche investieren z.B. mit dem Begriff "AFP NAS" und man wird sehen was es ist. Etwas Eigeninitiative kann man schon voraussetzen.

 

[Toms]

Ich setze auch eig nur auf SMB im Netzwerk und habe keinerlei Probleme im Bezug auf mein NAS. Meine Lightroom Library liegt sogar auf der NAS und ich bearbeite übers Netzwerk die Fotos und kann keine Probleme feststellen.

Sehe also nicht, wo die SMB Implementierung in macOS jetzt so viel schlechter sein soll als mit AFP.

 

[Gamefaq]

Ohne jetzt eine Diskussion anfangen zu wollen: Bei QNAP kommen öfters Meldungen zu Sicherheitslücken, die gepatched werden müssen und eigentlich auch auf Synology zutreffen müssten(!). Dort dauert es doch etwas länger, bis Updates bereitstehen. Ist aber nur meine Beobachtung.

Das gilt praktisch für alle Lücken die Entweder Linux betreffen oder eine externe App wie hier. Da die Kernel beider Hersteller (also auch Synology und andere) in der Regel dem gleichen aktuellen Linux Kern entsprechen und die Apps ebenso als Linux Anwendung geschrieben sind. Und sollte es die Apps auch für andere NAS Hersteller (zb. Asustor oder Terramaster) geben dann betrifft es die in der Regel auch.

 

[SamGecko]

Man kann a. auch fragen oder b. selber aktiv werden und einfach mal 10 Sekunden in einer Google Suche investieren z.B. mit dem Begriff "AFP NAS" und man wird sehen was es ist. Etwas Eigeninitiative kann man schon voraussetzen.

Wenn ich einen Artikel verfasse, dann will ich damit eine Meinung, Information oder Wissen vermitteln. Dann darin zahlreiche Abkürzungen zu verwenden, bei denen ich mir nicht sicher sein kann ob sie ohne Recherche verstanden werden widerspricht dem Sinn von Journalismus.

 

[Vexz]

Die ganzen Meldungen über Sicherheitslücken im NAS wollen echt nicht abreißen.

Gut ist, dass sie gefunden werden. Schlecht ist, dass es immer einen faden Beigeschmack hat.

Na, was stellst du dir denn vor? Dass es Betriebssysteme ohne Sicherheitslücken gibt? Ich glaube du lebst in einer Traumwelt.
Jedes Betriebssystem hat und wird immer Sicherheitslücken haben. Es ist eine endlose Jagd der Entwickler, diese zu finden und zu stopfen. Betriebssysteme entwickeln sich über die Zeit weiter und dadurch entsteht auch mehr Angriffsfläche, bei der ein Einfallstor existieren kann.

 

[Cool Master]

Wenn ich einen Artikel verfasse, dann will ich damit eine Meinung, Information oder Wissen vermitteln.

Die Information wurde vermittelt:

• NAS-Systeme von Synology als auch QNAP sind von Sicherheitslücken betroffen
• Alle Versionen betroffen
• Schadcode kann ausgeführt werden
• AFP-Funktionen vorläufig deaktivieren

Wenn du dein NAS nicht bedienen kannst und dir AFP-Funktion nichts sagt solltest du 1. überlegen ob du das Wissen hast so ein Gerät zu betreiben und 2. wenn nicht ggf. jemand mit der Administration beauftragen der die Abkürzungen versteht.

Dann darin zahlreiche Abkürzungen zu verwenden, bei denen ich mir nicht sicher sein kann ob sie ohne Recherche verstanden werden widerspricht dem Sinn von Journalismus.

Hört sich nach einem Du-Problem an. Jeder der mit der Materie vertraut ist und so ein Gerät administriert ist sofort klar was gemeint ist

 

[Toms]

zahlreiche Abkürzungen zu verwenden

Hätte dir Apple Filing Protocol, Server Message Block oder Network Attached Storage viel weitergeholfen?

 

[SamGecko]

Die Information wurde vermittelt:

• NAS-Systeme von Synology als auch QNAP sind von Sicherheitslücken betroffen
• Alle Versionen betroffen
• Schadcode kann ausgeführt werden
• AFP-Funktionen vorläufig deaktivieren

Wenn du dein NAS nicht bedienen kannst und dir AFP-Funktion nichts sagt solltest du 1. überlegen ob du das Wissen hast so ein Gerät zu betreiben und 2. wenn nicht ggf. jemand mit der Administration beauftragen der die Abkürzungen versteht.



Hört sich nach einem Du-Problem an. Jeder der mit der Materie vertraut ist und so ein Gerät administriert ist sofort klar was gemeint ist

Vielleicht solltest du von deinem hohen Roß mal heruntersteigen. Nach deiner Logik dürften 95% aller Menschen kein Auto fahren oder eine Computer bedienen.

 

[Cool Master]

Vielleicht solltest du von deinem hohen Roß mal heruntersteigen.

Vielleicht solltest du dir die Regeln noch mal durchlesen bzgl. Vollzitat

Nach deiner Logik dürften 95% aller Menschen kein Auto fahren oder eine Computer bedienen.

Wieso? Die meisten Menschen haben die Informationen zum Autofahren bekommen und haben sogar eine Prüfung dazu abgelegt. Verstehe deine Aussage also nicht. Ein Computer können die meisten auch bedienen und verstehen die Grundlagen.

Ich erwarte nicht, dass jeder Programmieren kann aber in der heutigen Zeit gibt es keine Ausrede etwas nicht mehr zu können außer die eigene Faulheit, wie z.B. bei dir. Wir leben im Informationszeitalter fast jeder hat heute ein Gerät in der Hosentasche welches das gesamte Wissen der Menschheit abrufbar hat. Man muss halt, wie ich schon schrieb, etwas Eigeninitiative zeigen.

Für mich ist die "Diskussion" hier aber am Ende mit dir da es zu OT wird.

 

[Kryss]

Scheint gefixed @Frank
https://www.synology.com/de-de/releaseNote/DSM?model=DS114#ver_42661=

Hab eben meine DS114 (~8-9 Jahre "jung") aktualisiert.

vg Chris

 

[nos4ar2]

Bei Asustor gibts jetzt auch Updates die es Fixen sollen:
https://www.asustor.com/service/release_notes#all

 

[catch 22]

Bei Asustor gibts jetzt auch Updates die es Fixen sollen:
https://www.asustor.com/service/release_notes#all

jupp, und zwar für das aktuelle ADM 4.0, wie auch das alte ADM 3.5 (wenn ich das bei den Einträgen Revisions richtig deute, dann erst seit ein paar Stunden auch verfügbar)

Quelle: https://www.asustor.com/security/security_advisory_detail?id=7

AS-2022-006: Netatalk​

2022-05-06

---

Severity	Status
Important	Resolved

Statement​

The Netatalk development team disclosed multiple fixed vulnerabilities affecting earlier versions of the software on the latest release of Netatalk 3.1.13: CVE-2021-31439, CVE-2022-23121, CVE-2022-23122, CVE-2022-23123, CVE-2022-23124, CVE-2022-23125 and CVE-2022-0194.

CVE-2021-31439 had been fixed on ADM 3.5.7 and ADM 4.0. Updates with Netatalk 3.1.13 will be released as soon as possible.

Affected Products​

Product	Severity	Fixed Release Availability
ADM 4.0	Important	Upgrade to 4.0.5.RT42 or above.
ADM 3.5	Important	Upgrade to 3.5.9.RT42 or above.

Mitigation​

Netatalk provides file access through AFP (Apple Filing Protocol) on ADM. AFP service has been disabled by default since ADM 4.0. We recommend using SMB protocol instead when connecting from macOS.

For ASUSTOR NAS not yet upgraded to ADM 3.5.9.RT42 or above, administrators can disable AFP service to mitigate the specific vulnerabilities. In environments where AFP is still needed, setting up firewall rules to only allow trusted clients to connect over AFP (port 548) can be used as temporary mitigation.

Detail​

• CVE-2021-31439
  • Severity: Important
  • This vulnerability allows network-adjacent attackers to execute arbitrary code on affected installations of Synology DiskStation Manager. Authentication is not required to exploit this vulnerability. The specific flaw exists within the processing of DSI structures in Netatalk. The issue results from the lack of proper validation of the length of user-supplied data prior to copying it to a heap-based buffer. An attacker can leverage this vulnerability to execute code in the context of the current process. Was ZDI-CAN-12326.
• CVE-2022-23121, CVE-2022-23122, CVE-2022-23123, CVE-2022-23124, CVE-2022-23125, CVE-2022-0194
  • Severity: Important
  • ** RESERVED ** This candidate has been reserved by an organization or individual that will use it when announcing a new security problem. When the candidate has been publicized, the details for this candidate will be provided.

Reference​

• Netatalk 3.1.13 release notes
• CVE-2021-31439
• CVE-2022-0194
• CVE-2022-23121
• CVE-2022-23122
• CVE-2022-23123
• CVE-2022-23124
• CVE-2022-23125

Revision​

Revision	Date	Description
1	2022-04-26	Initial public release.
2	2022-05-05	Update mitigation information.
3	2022-05-06	Release ADM 4.0.5.RT42 and ADM 3.5.9.RT42 to update Netatalk version for fixing the issue.