Netatalk: QNAP und Synology warnen vor Sicherheitslücke

Sowohl QNAP als auch Synology warnen derzeit vor einer Sicherheitslücke, da man auf eine veraltete Implementierung von Netatalk setzt. Mehrere Schwachstellen erlauben es entfernten Angreifern, sensible Informationen zu erlangen und möglicherweise beliebigen Code über eine anfällige Version des Synology DiskStation Manager (DSM) und Synology Router Manager (SRM) auszuführen. DSM 7.1 ist derzeit nicht betroffen, da berichteten wir ja bereits gestern über das Update auf DSM 7.1-42661-1, welches dieses Problem angeht.

Die von Synology mit dem Schweregrad „Hoch“ bewertete Lücke klafft aber in DSM 7.0, DSM 6.2 und SMR 1.2. Bei QNAP sind folgende Versionen betroffen: QTS 5.0.x und höher, QTS 4.5.4 und höher, QTS 4.3.6 und später, QTS 4.3.4 und später, QTS 4.3.3 und später, QTS 4.2.6 und später, QuTS hero h5.0.x und später, QuTS hero h4.5.4 und später sowie QuTScloud c5.0.x. In QTS 4.5.4.2012 build 20220419 oder neuer ist die Sicherheitslücke geschlossen.

Um das Problem abzuschwächen, empfiehlt QNAP, das Protokoll AFP zu deaktivieren, bis ein Update verfügbar ist. Hat man vielleicht eh, wenn man keinen alten Mac daheim hat.

In diesem Artikel sind Partner-Links enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

15 Kommentare

  1. Wer AFP nicht braucht sollte es sowieso unbedingt deaktivieren. Das Protokoll wird seit 2012 nicht mehr weiterentwickelt und seit macOS BigSur wird AFP gar nicht mehr unterstützt. macOS ist seit dem standardmäßig mit dem deutlich schnelleren SMB unterwegs.

    • Big Sur kann noch AFP. Es gibt zwischendurch mal use cases wo man das noch braucht. Hatte neulich auf meiner Syno eine Datei die sich nicht löschen ließ da sie unter macOS mal geschützt wurde. Über SMB ließ sich leider das Flag nicht ändern/entfernen. Kaum dass ich das Volume mal mit AFP gemountet hatte, schon ging es.

  2. Es wäre schön wenn Synology dann das Update auch endlich mal verteilen würde… nicht alles am gleichen Tag ist ja okay, aber wochenlang warten?

    (Mir ist bewusst dass ich Update manuell einspielen kann, ich erwarte aber dass der normale Automatismus auch funktioniert)

    • Rock'n Roll says:

      Du kannst doch DSM 7.1 nutzen welche nicht betroffen sein soll. Die gibt es ja für eine Vielzahl von DS schon seit 2 Wochen. Gestern Gab es dazu auch schon das erste Sicherheitsupdate. Ältere DSM (6&7) werden demnächst bestimmt folgen, da macht Synology seit Jahren ja gute Arbeit.

      • Das Problem ist die Verteilung über das automatische Update.
        Ich habe bis gestern auf der DS920+ keine Aktualisierung von 7.0 auf 7.1 angeboten bekommen.

        Die manuelle Aktualisierung auf 7.1 lief bei mir nach Berücksichtigung aller genannten Hinweise recht problemlos durch und alles läuft weiter.

        Wenn die Updates wirklich sicherheitsrelevant sind, sollten diese auch zeitnah über die automatischen Updates gemeldet werden.

        Ohne diesen Blog wüsste ich nichts von DSM 7.1 und dem zugehörigen Update 1.

        • Rock'n Roll says:

          ein Update auf einer neuen Version kann aber muss nicht automatisch sein. es gibt einige NAS von Synology welche nur mit eine manuellen Update auf die neue Version gebracht werden können.
          Bislang war das immer mit der Anfangsnummer verbunden. Bei 7.1 ist das ein bisschen anders und nicht als direktes Update von DSM7 zu verstehen. Dazu kommt das die Updates online immer später angeboten bzw. verteilt werden, dass war auch schon immer so!

          Das der Blog das Sprachrohr für Synology sein soll verstehe ich nicht, denn es Wurde auf der Webseite publiziert wie auch in den Synology Foren wo jeder der eine Frage hat besser aufgehoben ist. Wenn du nur diesen Blog nutzt anstatt beim Hersteller vorbei zu schauen ist das nicht Synologys schuld. Davon Abgesehen lief das Update auf 7.1 bei einigen nicht optimal durch, das erste Update für die neue Version ist ja auch schon nach 14 Tagen erschienen. Erst gestern hat mein DS die Version 7.1 offiziell bekommen – also wovon redest du?

          • Ich rede davon, dass ich persönlich nur durch diesen Blog überhaupt von den Updates 7.1 und 7.1 Update 1 erfahren habe.

            Sollten diese sicherheitsrelevant sein, sollten sie meiner Meinung auch zeitnah automatisch zumindest angeboten werden. Da sehe ich mich als Kunde nicht in der Pflicht beim Hersteller auf der Homepage nach einem manuellen Update nachzusehen, wenn ich in der Systemsteuerung angezeigt bekomme, dass 7.0 das aktuellste System ist.

            • Rock'n Roll says:

              Jetzt bekommst du Biosupdates, Treiber und Windows jetzt auch immer online? Es geht bei einigen nicht anders, das liegt an der Hardware. Ein Versionssprung ist eben kein Sicherheitsupdate und 7somit ist 7.1 nicht das Sicherheitsupdate von 7.0.

              7.1 ist ein eigenständiges Release und bekommt somit auch andere Updates als 6.x oder 7.0.
              Das kannst du auch alles bei Synology einsehen. Einfacher wäre wohl gewesen auf Version 8 zu gehen damit es jetzt nicht die Diskussion gibt. Wobei keinen Sich in den Foren daran stört außer einer hier im Blog.

              Onleupdate kamen schon immer später, das sind aber meistens nur die Sicherheitsupdates und kein Versionssprung. Das geht auch nur bei den neueren von Synology. Bei den älteren musste man das schon immer von Hand machen. Auch gibt es ab und zu einen einen Update-Bug, welcher kleine Updates findet, das ist aber ein anderes Thema.

              Wenn du kein Interesse hast dich damit auseinander zu setzen solltest du wohl lieber auf eine Cloud ausweichen. Da musst du nichts machen.

              Weiterhin ist das Update gerade heraus gekommen und ich habe es durch Zufall einen Abend davor entdeckt, am Nachmittag kamen die kompletten neuen Images mit Patch heraus und die Struktur auf den Server wurde geändert. Normal liefert Synology keine Images mit Sicherheitsupdates aus, sondern nur Baseimage+ Updates.

              • Ich fürchte wir reden an einander vorbei.

                Wenn diese Updates/Aktualisierungen/Versionen für den sicheren Betrieb erforderlich oder sind oder zumindest empfehlenswert, was ich nicht beurteilen kann, würde ich mir nur wünschen diese auch im DSM zumindest angezeigt zu bekommen. Wenn ein automatisches Update nicht möglich ist, genügt mir auch ein entsprechender Hinweis auf die mögliche manuelle Installation.

  3. Thomas Müller says:

    Diese Gerät sind eine einzige Zumutung in Bezug auf Sicherheit. Ich habe mir aus diesem Grund einen Debian PC mit OpenmediaVault aufgebaut. Der ist kostengünstiger und hat nicht solche eklatanten Sicherheitslücken.

    • Kann man auch machen, aber das ist natürlich nicht die gleiche Zielgruppe.
      Und Security Updates wegen Lcken gibts auch bei Linux und Debian ständig.

    • Kann ich gut verstehen. Der Vorteil dieser Systeme ist, dass alles super integriert ist und man sich selbst um wenig kümmern muss. Und wie du sagst, der große Nachteil ist ungewisse Sicherheit und außerdem auch sowas wie planned obsolescence, denn wenn die Dinger ein paar Jahre alt sind, gibts keine Updates mehr – der Sicherheits-GAU.

      Man brauch schon starke Nerven diese Dinger public erreichbar übers Internet zu machen.

      Ich würde mir wirklich eine Möglichkeit wünschen soetwas wie FreeNAS auf Synology und QNAP zu installieren – und dann alles mit Tailscale oder ähnlichem absichern.

    • Mache ich mittlerweile auch so. Die Hardware für so einen Server kriegt man echt hinterhergeworfen oder hat man eh rumliegen. Dazu Platten je nach Wunsch und Dank Docker kann man die Funktionalität von OMV je nach Wunsch erweitern.

    • OMV hatte ich vor einem halben Jahr mal ausprobiert, mit einem RasPi4 und einer Festplatte, weil ich ein System haben wollte, dass VIEL Speicher bietet, und nicht unbedingt SCHNELLEN.

      – Die Festplatte lief permanent, 24 Stunden, auch Nachts, auch ohne Clientzugriffe. Laut Forum ein gängiges Problem. Bei der HD nervte zusätzlich der Lärm, aber auch bei einer SSD ist es bestimmt nicht doll, wenn die nie schlafen darf.
      – Der Versuch, den Server als TimeMachine-Backupserver für die Macs zu verwenden führte dazu, dass der ganze Mac nach 1-2 Tagen „hing“
      – Mir gefällt nicht die „Denke“ hinter OMV, eine bestimmte Konfiguration zu erstellen, indem man gnadenlos alle benötigten Dateien in /etc selber überballert. Erfahrungsgemäss funktioniert das immer richtig super, bis man irgendwas anders haben möchte als OMV das gern hätte, dann geht der K(r)ampf los, wie man seine eigene Einstellung persistiert.

      Grundsätzlich halte ich nichts davon, FreieSoftware-Projekte zu bashen, aber es gefiel mir nur am Anfang, nicht aber als Daily Driver.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.