Synology DiskStation Manager: 7.1.1-42962 Update 3 schließt Sicherheitslücken

Auf der PWN2OWN TORONTO 2022 versuchten Sicherheitsforscher, Sicherheitslücken zu finden und diese auszunutzen. Gelungen ist das unter anderem im Synology DiskStation Manager 7.1 Frühere Versionen werden derzeit auf Schwachstellen untersucht. Synology hat bereits den DiskStation Manager 7.1.1-42962 Update 3 veröffentlicht, der die Schwachstellen schließen soll. Genaue Details zu den Schwachstellen hat man noch nicht veröffentlicht, da wird man sicherlich abwarten, bis ein Großteil der Anwender mit der neuen Version unterwegs ist. Bekannt ist aber: Claroty Research war in der Lage, eine Kette von 3 Fehlern (2x fehlende Autorisierung für kritische Funktionen und ein Autorisierungs-Bypass) gegen die Synology DiskStation DS920+ in der Kategorie NAS auszuführen, was zu einem Preisgeld von 40.000 Dollar führte.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei Twitter, Facebook und Instagram. PayPal-Kaffeespende.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

11 Kommentare

  1. Danke für die Benachrichtigung!

  2. ERGÄNZUNG (Release Notes):

    Fixed Issues
    Fixed multiple security vulnerabilities. (Synology-SA-22:23)

    Anmerkungen:
    This version is released in a staged rollout.

    • FriedeFreudeEierkuchen says:

      „This version is released in a staged rollout“
      Entweder ist die Lücke nicht so einfach auszunutzen (etwas nur aus dem internen Netz) oder Synology hat voll die Ruhe weg. Bei kritischen Sicherheitslücken klingt „staged rollout“ etwas fehl am Platz.

  3. Hahaha, ich hab vor 12 Stunden Update 2 installiert 🙂

  4. Seit 7.1 findet DSM keine Updates mehr, bei mir steht noch – Update 1. Im Download-Center wird mir nur die Version 42962 angezeigt als Ausgangsbasis, kein Update 1. Ob ich da Update 3 einfach so drüber bügeln darf?

    • Ich bin also nicht der Einzige mit dem Problem.
      Ebenfalls Stand Update 1 – angeblich aktuell.

      • Da Update 2 sowas wie ein optionales Update ist und Update 3 erst heute im staged Rollout released wurde ist das normal würde ich sagen. Natürlich kann man auch jetzt einfach manuell updaten.
        Bei Update 2 steht in den Release Note: Your DSM is working fine without having to update. The system evaluates service statuses and system settings to determine whether it needs to update to this version.

  5. Anscheinend gibt es das Update noch nicht für die DS923+. Die letzte Version für das Modell ist noch die initiale Version vom 16. November 2022.

  6. Weitere Ergänzung: für das update (manuell in meinem Fall) muss die Diskstation offensichtlich nicht neu gestartet werden, sondern nur ein paar Dienste. So zumindest der Fall bei mir bei einer DS220+ und DS918+.

  7. Update 3 auf 415 + und 1522+ erfolgreich ausgeführt

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.