Synology DiskStation Manager: 7.1.1-42962 Update 3 schließt Sicherheitslücken
von caschy | 11 Kommentare
Auf der PWN2OWN TORONTO 2022 versuchten Sicherheitsforscher, Sicherheitslücken zu finden und diese auszunutzen. Gelungen ist das unter anderem im Synology DiskStation Manager 7.1 Frühere Versionen werden derzeit auf Schwachstellen untersucht. Synology hat bereits den DiskStation Manager 7.1.1-42962 Update 3 veröffentlicht, der die Schwachstellen schließen soll. Genaue Details zu den Schwachstellen hat man noch nicht veröffentlicht, da wird man sicherlich abwarten, bis ein Großteil der Anwender mit der neuen Version unterwegs ist. Bekannt ist aber: Claroty Research war in der Lage, eine Kette von 3 Fehlern (2x fehlende Autorisierung für kritische Funktionen und ein Autorisierungs-Bypass) gegen die Synology DiskStation DS920+ in der Kategorie NAS auszuführen, was zu einem Preisgeld von 40.000 Dollar führte.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Danke für die Benachrichtigung!
ERGÄNZUNG (Release Notes):
Fixed Issues
Fixed multiple security vulnerabilities. (Synology-SA-22:23)
Anmerkungen:
This version is released in a staged rollout.
„This version is released in a staged rollout“
Entweder ist die Lücke nicht so einfach auszunutzen (etwas nur aus dem internen Netz) oder Synology hat voll die Ruhe weg. Bei kritischen Sicherheitslücken klingt „staged rollout“ etwas fehl am Platz.
Hahaha, ich hab vor 12 Stunden Update 2 installiert 🙂
Seit 7.1 findet DSM keine Updates mehr, bei mir steht noch – Update 1. Im Download-Center wird mir nur die Version 42962 angezeigt als Ausgangsbasis, kein Update 1. Ob ich da Update 3 einfach so drüber bügeln darf?
Ich bin also nicht der Einzige mit dem Problem.
Ebenfalls Stand Update 1 – angeblich aktuell.
Da Update 2 sowas wie ein optionales Update ist und Update 3 erst heute im staged Rollout released wurde ist das normal würde ich sagen. Natürlich kann man auch jetzt einfach manuell updaten.
Bei Update 2 steht in den Release Note: Your DSM is working fine without having to update. The system evaluates service statuses and system settings to determine whether it needs to update to this version.
Anscheinend gibt es das Update noch nicht für die DS923+. Die letzte Version für das Modell ist noch die initiale Version vom 16. November 2022.
Weitere Ergänzung: für das update (manuell in meinem Fall) muss die Diskstation offensichtlich nicht neu gestartet werden, sondern nur ein paar Dienste. So zumindest der Fall bei mir bei einer DS220+ und DS918+.
Bei mir (DS920+) ebenfalls kein automatischer Neustart. Habe diesen trotzdem manuell durchgeführt.
Update 3 auf 415 + und 1522+ erfolgreich ausgeführt