Meltdown & Spectre: Synology und QNAP listen Geräte mit Anfälligkeit
Schaut man sich im NAS-Markt um, dann stolpert man zwangsläufig über QNAP und Synology. Beides Anbieter, die tolle Lösungen im Angebot haben, zumindest für Menschen, die mehr machen wollen als das Speichern von Daten. Für die unterschiedlichen Lösungen gibt es auch immer mal wieder mehr oder weniger nützliche Apps von Dritt-Anwendern, aber hier sollte man unter Umständen lieber vorsichtig sein – also noch vorsichtiger als sonst.
Im Rahmen der Berichterstattung bezüglich Spectre und Meltdown haben auch die Anbieter QNAP und Synology ihre Lösungen überprüft und sind auf mögliche Schwachstellen gestoßen. Man darf davon ausgehen, dass auch andere Hersteller in diesem Bereich recherchieren, ich nenne nur QNAP und Synology, da ich diese beiden Hersteller regelmäßig auf dem Schirm habe. Synology informiert auf dieser Seite über betroffene Geräte.
[asa]B01BNPT1EG[/asa]Die Schwachstellen ermöglichen es lokalen Benutzern, Privilegien-Eskalationsangriffe durchzuführen oder sensible Informationen über eine anfällige Version des Synology DiskStation Managers (DSM), Synology Router Manager (SRM) oder VisualStation zu erhalten, die mit Intel- oder ARM-CPU ausgestattet sind. Synology stuft die Gesamtschwere als moderat ein, da diese Schwachstellen nur über lokale Schadprogramme ausgenutzt werden können.
Synology wird laut eigener Aussagen ein Software-Update veröffentlichen, um CVE-2017-5715 für Modelle mit Intel-Prozessoren zu adressieren und die Auswirkungen der beiden anderen Schwachstellen weiter zu untersuchen.
[asa]B01MFEH9EL[/asa]Das Geschriebene gilt natürlich auch für QNAP, auch hier sind reichlich Modelle betroffen. Auch QNAP teilt mit, dass man derzeit an Software-Updates arbeite, die diese Schwachstellen beheben sollen. Eine Liste der betroffenen NAS-Geräte von QNAP findet ihr hier. Ob ihr nun QNAP nutzt oder Synology – oder ein NAS betroffener Hersteller: Schaut vielleicht nach, ob ihr betroffen seid und achtet noch mehr als bisher darauf, was ihr an Dritt-Apps einsetzt.
Einfacher wäre gewesen wenn sie nur die nicht betroffenen Geräte aufgelistet hätten.
Insgesamt ist die Auflistung null überraschend.
ich hab ne DS412+ … die taucht nicht in den Listen auf
ist die jetzt immun?
oder wird sie einfach nicht aufgezählt weil EOL (End-Of-Life bzw. Ende des erweiterten Supports)?
ich gehe vom zweiten Fall aus