Synology DSM 5.0-4493 Update 4 schließt Sicherheitslücken
von caschy | 14 Kommentare
Synology, Hersteller der DiskStation-Lösungen, hat die Software DSM 5.0-4493 Update 4 veröffentlicht. Hierbei handelt es sich um das Betriebssystem der DiskStation, welches im konkreten Fall einige Sicherheitslücken schließt, die mit OpenSSL in Zusammenhang stehen.
Nachdem ihr auf DSM 5.0-4493 Update 4 aktualisiert habt, habt ihr die derzeit als sicher geltende Version 1.0.1i von OpenSSL im Einsatz. Weiterhin schließt das aktuelle Update die Möglichkeit für Angreifer, DoS-Attacken via des Authentifizierungsdienstes Kerberos 5 auszuführen.
Weiterhin enthält DSM 5.0-4493 Update 4 ein wichtiges Update in Sachen Time Backup, hier konnte es sein, dass der Restore nicht funktionierte, wenn mehrere Unterordner im Time Backup enthalten waren. Ihr seht, wieder einmal ein Update, welches man flott einspielen sollte. Ansonsten ergeht es einem in der Zukunft vielleicht wie allen, die vom SynoLocker befallen wurden. (danke Michael!)
Wird geladen ...
Es freut mich, das Synology so fleissig patcht, doch sollten sie sich auch mal um die Bugs in ihren Apps/Diensten kümmern, sowie Featurewünsche der User berücksichtigen.
Es fehlt… mal wieder… ein Link direkt zum Hersteller bzw. zum Download der neuen DSM-Version. Schade. Du hast es doch nicht nötig, so geizig mit Links zu sein! 🙂
@Spikey: Ernsthaft? Du gehst in dein Backend und machst das Update über die Systemsteuerung 😉 Oder lädst du dir das PAT runter und installierst manuell?
Im Normalfall bevorzuge ich natürlich wann immer möglich die erste Variante 😉 – aber unabhängig davon: wenn in einer News, in der es explizit um ein DSM-Update geht, die Worte „DSM“ (gefolgt von einer Versionsnummer) bzw. „Synology“ verlinkt sind, erwarte ich unbewusst einfach, dass ich da direkt auf die maßgebliche Seite komme, um dort z.B. das genaue Changelog oder die Original-News vom Hersteller oder ggf. eben trotzdem auch das Paket zur manuellen Installation zu finden (und bin „überrascht“, wenn ich dann woanders lande, weil sich das für mich „falsch“ anfühlt). Aber vielleicht geht das ja auch nur mir so…
Auch für 4.3 Nutzer
DSM 4.3-3827 Update 6
(2014/8/26)
Fixed Issues
Upgraded OpenSSL to Version 1.0.1i to fix multiple security issues (CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-0198, CVE-2010-5298, and CVE-2014-3470).
Implemented fixes for Kerberos 5 to address multiple security issues that allow remote attackers to cause a denial of service (CVE-2012-1013, CVE-2014-4341, CVE-2014-4342, CVE-2014-4344).
Updated to the last version of PHP 5.3, announced EOL by the official PHP development team, to address multiple security vulnerabilities (CVE-2014-3981, CVE-2014-3515, CVE-2013-6712, CVE-2014-0207, CVE-2014-0238, CVE-2014-0237, CVE-2014-4049).
@Spikey
Bei „update X“ Versionen vom DSM werden die PAT Dateien auf der Downloadseite oft nicht aktualisiert (ich glaube sogar nie). Lediglich bei einem Versionssprung. Um wirklich aktuell zu sein bleibt einem also nichts anderes übrig als die interne Updatefunktion.
Auf der Downloadseite ist auch immernoch die alte Version (Update 0).
Es ging/geht mir doch nicht darum, ob und was nun in diesem konkreten Fall auf der Synology-Seite zu finden oder nicht zu finden ist (das sehe ich ja auch selbst, wenn ich auf die Seite gehe), sondern um die für mich stellenweise sehr gewöhnungsbedürftige Verlinkungspraxis hier.
Caschy nutzt Verlinkungen im Fließtext (hilfsweise via G-Suche) so, wie das eigentlich für Tags üblich ist: Klickt man auf einen Tag, werden alle Beiträge, die entsprechend getaggt sind, angezeigt.
Für Verlinkungen im Fließtext, gerade wenn es dann auch noch Hersteller, Marken, Namen eetc. sind, erwartet man (ich?) eher einen Direktlink auf die offizielle Seite bzw. die Quelle. So bin ich es zumindest seit jeher gewöhnt, weil es verbreiteter Usus ist.
http://ukdl.synology.com/download/criticalupdate/update_pack/?C=M;O=D
@Spikey
was die Unart betrifft, einfach auf die Sitesuche zu verlinken, muß ich Dir beipflichten, das finde ich auch jedes Mal wieder störend, so mal die Google Suche ein „technisches“ Ergebnis liefert und kein redaktionell gepflegtes im Sinne eines Themenspecials.
Es ist um so verwunderlicher, da bei diesem Vorgehen im Gegensatz zu einer vom CMS generierten Übersicht auch keine Verbesserung im Google Ranking erfolgt, es somit weder dem User inhaltlich noch Caschy SEOmäßig hilft.
@Sparbrötchen Wir haben hier 10 Jahre keine Tags verwendet, sodass es keine Specials gibt. Ferner hat sich die WordPress-Suche nach über 20K Artikeln als echt schlcht herausgestellt, sodass wir damals zur Google-Suche griffen. Wenn du bessere Vorschläge hast, immer her damit, ich bin für konstruktives Feedback dankbar. Momentan arbeitet echt die festgelegte Stichwortsuche am besten, hierfür habe ich automatische Tags generiert, die auf eine Google-Suche linken, die jeder interessierte Nutzer nach Datum oder Relevanz durchsuchen kann. Alternativ könnte ich z.B. so verlinken: http://stadt-bremerhaven.de/?s=synology
Ich wusste noch gar nicht, dass man das auch per Link downloaden kann. Wozu auch. 😉
@Lux:
Es gibt (erfahrene oder geschundene User) Stimmen, die behaupten, ein manuell eingespieltes Backup ist sicherer (im sinne der stabilität *beim* installieren) als eins, das über die (ausfallanfällige) Weboberfläche angetriggert wird.
Ich persönlich habe nur ca. 5 Mal Ärger mit autoamtischen Updates gehabt, im Gegenzug aber 95 Mal gute Erfahrung damit gemacht.
Kommt immer darauf an…
Ein direkter Link ins Changelog ist allerdings (freundliche) Pflicht, sowie eine Verlinkung auf die Seite, die den direkten Download anbietet.
Das sehe ich wie die Herren über mir genauso.
Sind ja noch nicht alle so verwöhnt wie die Jugend heute, die nur „Kick und Kauf“ kennen…
Danke für den Hinweis.
Gibt es eigentlich ein (funktionierende) Möglichkeit auf einen Box oder ggf Flickr-Account hochzuladen bzw. zu synchronisieren? Das wäre noch mein Wunsch-Feature. Naja, vllt gibt’s ja was neues dazu beim DSM-Event in Düsseldorf.
OOoooh ich hasse Updates. Funktioniert bei euch euer DVB-T Stick nach dem Update heute noch? Bei mir nicht mehr. Er wird zwar noch in der Systemsteuerung unter Info erkannt, aber in der Video Station ist der bereich DTV ausgegraut. Auch DVBLink will den Stick nicht mehr sehen.. 🙁