Synology schließt Schwachstellen: DSM 7.2.2-72806-1 und mehr veröffentlicht
von caschy | 4 Kommentare
Besitzer von Synology-Geräten, aufgepasst. Das Unternehmen schließt weitere Pwn2Own-Sicherheitslücken. Das betrifft sowohl einige Pakete der Software als auch die Betriebssysteme Synology DSM und BeeStationOS für die BeeStation. Zum Zeitpunkt unserer Veröffentlichung sind die Systemseiten noch ohne Hinweis auf das Update, aber auf den Servern findet man schon die neuen Dateien, des Weiteren sind die jeweiligen Security Advisiorys raus. Beispielsweise ist DSM 7.2.2-72806-1 erschienen und patcht kritische Schwachstellen, wer noch auf Version 7.1 ist, muss auf das Update warten. Innerhalb der nächsten 30 Tage will man da Updates anliefern.
Zur Meldung Synology-SA-24:20 DSM (PWN2OWN 2024): Die erste Schwachstelle, gelistet als ZDI-CAN-25403, eröffnet Angreifern die Möglichkeit, aus der Ferne beliebigen Code auf betroffenen Systemen auszuführen. Eine weitere Sicherheitslücke, ZDI-CAN-25487, ermöglicht es Angreifern, die sich in einer Man-in-the-Middle-Position befinden, administrative Sitzungen zu übernehmen. Bei einem Man-in-the-Middle-Angriff positioniert sich der Angreifer zwischen zwei kommunizierenden Parteien und kann den Datenverkehr abfangen und manipulieren.
Die dritte Schwachstelle, ZDI-CAN-25613, gestattet es Angreifern, aus der Ferne auf bestimmte Dateien zuzugreifen und diese zu lesen. Diese Art von Schwachstelle kann zur Offenlegung sensibler Informationen führen. Die vierte identifizierte Sicherheitslücke, ZDI-CAN-25617, ermöglicht es Angreifern in unmittelbarer Netzwerknähe, durch einen Man-in-the-Middle-Angriff bestimmte Dateien zu manipulieren.
Wer sein NAS da im Netz hat, sollte also vielleicht die Augen aufhalten, wenn die Updates ankommen, bzw. manuell tätig werden.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Danke für die Meldung, installiert und rennt…
Dias ist nicht die einzige Sicherheitslücke bei DSM 7.1. Die anderen Updates wurden von Synology auch nur „angekündigt“ und wurden bis heute nicht behoben. DSM 7.1 bekommt noch bis nächstes Jahr Sommer Sicherheitsupdates.
BTW: Kann jemand einen würdigen Nachfolger für eine 213+ empfehlen??
MfG
224+ wenn es noch ein bisschen mehr sein darf, ein Gerät mit NVMe (wird nicht offiziell als Volume von Synology supportet). Einen Dualcore-NAS wie bei der 723 würde ich aber auch nicht in 2023 kaufen. Warum Synology solche SoC ausgesucht haben, wissen sie wohl selbst nicht, außer dass diese sehr günstig gewesen sein müssen.
Ich selbst gehe aktuell mit Ugreen fremd, habe aber auch DS und weitere TinyPCs (Intel I5) mit DSM 7.2.x.
Es kommt aber darauf an, was du machen willst.
Beachte, dass meist im Herbst bzw. Oktober/November neue Geräte von Synology releast werden. Ich würde aktuell noch abwarten, was passiert. Die 24er-Modelle waren eigentlich nur „umgelabelte“ 20er-Modelle mit kleinen Änderungen (Gehäuse, max. RAM und keine NVMe): 720+ > 224+ bzw. 920+ > 224+.
Ich wette, dass diese 24er-Modelle einen kürzeren Supportzeitraum haben wie aktuell bei den 15er-Modellen auch. Das liegt an dem verwendeten Prozessor und nicht an der DiskStation-Bezeichnung. Wenn die 720+ und 920+ von der Hardware abgeschrieben sind, wird das 1:1 auch die 24 Modelle betreffen. Somit sind das ca. 4 Jahre weniger Softwaresupport. Das sollte jeder sich vorher genau überlegen, weil im Worst Case schon ca. die Hälfte der Supportlaufzeit abgelaufen ist!