Synology: Aktueller Stand zur ShellShock-Lücke
Über die Sicherheitslücke „ShellShock“ in der Linux-Shell „Bash“ haben wir bereits gestern berichtet, heute haben wir dann die ersten Infos von Google, Amazon und Apple erhalten. Nutzer eines Synology NAS tappten bisher im Dunkeln. Seit heute gibt es eine FAQ-Seite zu dem Thema „ShellShock“.
„Synology“ gibt bekannt, dass die „Bash-Shell“ eigentlich nicht nach außen erreichbar ist, man aber trotzdem an einer Lösung des Problems arbeitet. Auch gibt man bekannt, welche Modelle von der Sicherheitslücke betroffen sind. Die betroffenen Modelle hat man auf der entsprechenden FAQ-Seite aufgelistet:
- 15-series: DS415+
- 14-series: RS3614xs+, RS2414+, RS2414RP+, RS814+, RS814RP+, RS3614xs, RS3614RPxs
- 13-series: DS2413+, DS713+, RS10613xs+, RS3413xs+, DS1813+, DS1513+
- 12-series: DS712+, DS1512+, DS1812+, DS3612xs, RS3412xs, RS3412RPxs, DS412+, RS812+, RS812RP+, RS2212+, RS2212RP+
- 11-series: DS3611xs, RS3411xs, RS3411RPxs, DS2411+, RS2211+, RS2211RP+, DS1511+, DS411+II, DS411+
- 10-series: DS1010+, RS810+, RS810RP+, DS710+
Sollte euer NAS unter den betroffenen Modellen sein dann solltet ihr – wie bereits erwähnt – keine Panik haben, denn eigentlich kann die „ShellShock“-Lücke auf eurem NAS nicht einfach so ausgeführt werden. Wer auf Nummer sicher gehen möchte, der sperrt den Port 22 (SSH) oder verbietet seinem NAS den Zugang ins Internet.
Wird geladen ...
Gibt es auch schon Infos zu Qnap Geräten?
ShellShock hat nun wirklich nichts damit zu tun ob die Bash nach außen erreichbar ist z.B. via SSH. Eine ENV-Variable kann auch über ein cgi-Script geschrieben werden. Oder durch eine DHCP-Option im DHCP Server wenn eine neue IP z.B. bei einem Neustart ausgehandelt wird. Intern wird dann eine Bash ausgeführt und schon kann der Inhalt der Variable ausgeführt werden.
Also sollte das NAS über das Internet erreichbar sein, würde ich es bis zum Fix davon trennen. Wer weiß welche Dienste noch ein Schreiben von ENV-Variablen veranlassen können.
Port 22, nur um ein Einloggen via SSH zu verhindern bringt bei dieser Lücke nichts.
Schon komisch, wenn so etwas Synology bekannt gibt glaubt man ihnen einfach und berichtet ohne Unterton. Gibt Apple GENAU das gleiche bekannt, kommen gleich die Zweifler und auch die Artikel sind teilweise (nicht auf diesen Blog bezogen) mit einem vorwerfenden Unterton geschrieben. Finde ich schon ein bisschen unfair.
Apple ist aber auch nicht gerade für Ihre (zeitnahe) Transparenz und Offenheit bekannt. Da ist es dann Misstrauen nicht weit weg.
@Patrick Albrecht
Synology handhabt das ganze transparenter und lässt Würzen auch Taten folgen. Die haben sich ihr Vertrauen erarbeitet.
Würzen = Worten 😀
Danke für den Hinweis. Warum sind denn nur einige Modelle betroffen?
@Patrick Albrecht:
Liegt vielleicht daran, daß Apple erst herunterspielt und dann das Problem hinterfragt? Wie war das noch beim dem Antennenproblem? Und jetzt beim dem Biegenproblem?
Xpenology ist dann ja leider auch betroffen :-/
Schön haben sie von dem Synolocker Debackel gelernt (auch wenn es nicht ihre Schuld war, dass die Leute keine längst gepatchte Version drauf hatten) und veröffentlichen übersichtliche und doch technische Infos dazu.