Synology schließt Schwachstellen: DSM 7.2.2-72806-1 und mehr veröffentlicht
von caschy | 13 Kommentare
Besitzer von Synology-Geräten, aufgepasst. Das Unternehmen schließt weitere Pwn2Own-Sicherheitslücken. Das betrifft sowohl einige Pakete der Software als auch die Betriebssysteme Synology DSM und BeeStationOS für die BeeStation. Zum Zeitpunkt unserer Veröffentlichung sind die Systemseiten noch ohne Hinweis auf das Update, aber auf den Servern findet man schon die neuen Dateien, des Weiteren sind die jeweiligen Security Advisiorys raus. Beispielsweise ist DSM 7.2.2-72806-1 erschienen und patcht kritische Schwachstellen, wer noch auf Version 7.1 ist, muss auf das Update warten. Innerhalb der nächsten 30 Tage will man da Updates anliefern.
Zur Meldung Synology-SA-24:20 DSM (PWN2OWN 2024): Die erste Schwachstelle, gelistet als ZDI-CAN-25403, eröffnet Angreifern die Möglichkeit, aus der Ferne beliebigen Code auf betroffenen Systemen auszuführen. Eine weitere Sicherheitslücke, ZDI-CAN-25487, ermöglicht es Angreifern, die sich in einer Man-in-the-Middle-Position befinden, administrative Sitzungen zu übernehmen. Bei einem Man-in-the-Middle-Angriff positioniert sich der Angreifer zwischen zwei kommunizierenden Parteien und kann den Datenverkehr abfangen und manipulieren.
Die dritte Schwachstelle, ZDI-CAN-25613, gestattet es Angreifern, aus der Ferne auf bestimmte Dateien zuzugreifen und diese zu lesen. Diese Art von Schwachstelle kann zur Offenlegung sensibler Informationen führen. Die vierte identifizierte Sicherheitslücke, ZDI-CAN-25617, ermöglicht es Angreifern in unmittelbarer Netzwerknähe, durch einen Man-in-the-Middle-Angriff bestimmte Dateien zu manipulieren.
Wer sein NAS da im Netz hat, sollte also vielleicht die Augen aufhalten, wenn die Updates ankommen, bzw. manuell tätig werden.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Danke für die Meldung, installiert und rennt…
Dias ist nicht die einzige Sicherheitslücke bei DSM 7.1. Die anderen Updates wurden von Synology auch nur „angekündigt“ und wurden bis heute nicht behoben. DSM 7.1 bekommt noch bis nächstes Jahr Sommer Sicherheitsupdates.
BTW: Kann jemand einen würdigen Nachfolger für eine 213+ empfehlen??
MfG
224+ wenn es noch ein bisschen mehr sein darf, ein Gerät mit NVMe (wird nicht offiziell als Volume von Synology supportet). Einen Dualcore-NAS wie bei der 723 würde ich aber auch nicht in 2023 kaufen. Warum Synology solche SoC ausgesucht haben, wissen sie wohl selbst nicht, außer dass diese sehr günstig gewesen sein müssen.
Ich selbst gehe aktuell mit Ugreen fremd, habe aber auch DS und weitere TinyPCs (Intel I5) mit DSM 7.2.x.
Es kommt aber darauf an, was du machen willst.
Beachte, dass meist im Herbst bzw. Oktober/November neue Geräte von Synology releast werden. Ich würde aktuell noch abwarten, was passiert. Die 24er-Modelle waren eigentlich nur „umgelabelte“ 20er-Modelle mit kleinen Änderungen (Gehäuse, max. RAM und keine NVMe): 720+ > 224+ bzw. 920+ > 224+.
Ich wette, dass diese 24er-Modelle einen kürzeren Supportzeitraum haben wie aktuell bei den 15er-Modellen auch. Das liegt an dem verwendeten Prozessor und nicht an der DiskStation-Bezeichnung. Wenn die 720+ und 920+ von der Hardware abgeschrieben sind, wird das 1:1 auch die 24 Modelle betreffen. Somit sind das ca. 4 Jahre weniger Softwaresupport. Das sollte jeder sich vorher genau überlegen, weil im Worst Case schon ca. die Hälfte der Supportlaufzeit abgelaufen ist!
@Ike Broflovski:
Danke für die Information! Viel Stoff zum nachdenken….
Danke für den Hinweis.
Lasst das patchen beginnen :).
Meine 918+ ist noch auf 7.2.1 Update 5. Wird es für 7.2.1 auch einen Patch geben oder muss ich hier die 7.2.2 manuell installieren? Wird die 7.2.2 überhaupt irgendwann automatisch kommen?
Synology behauptet ja immer, das Update in Wellen auszurollen.
Das mag ja auch so sein, nur funktioniert das Update/Updater nicht wirklich und immer gut
Du kannst warten (hoffen) oder manuell updaten. Wie die Updatefolge ist, beschreibt Synology im Downloadcenter: https://www.synology.com/de-de/support/download/DS918+?version=7.2#system (unten Start-Ziel-Versionsnummer eingeben)
Für dich sieht das Update wie folgt aus: 7.2.1-69057 Update 5 > 7.2.2-72806 > 7.2.2-72806 Update 1.
Aufgrund der letzten Sicherheitsfehler würde ich das Update schon manuell einspielen.
Bei mir scheitert es schon an der Benachrichtigung! Seit ich Synologys einsetze, musste ich immer manuell patchen. Dank Caschy bin ich da zum Glück immer frühzeitig informiert.
Nein, die 918+ bekommt das 7.2.2-Update nicht automatisch, musste es auch manuell einspielen, klappte aber problemlos. Meine 220+ bekam es automatisch angezeigt (noch ohne Update 1). In den Release-Notes steht unter Punkt 3, welche Geräte das Update nicht automatisch bekommen. Warum das so ist steht da allerdings nicht. Scheint ein recht willkürliches Gängeln zu sein:
https://www.synology.com/de-de/releaseNote/DSM
Updates lief uf meiner 1522+ problemlos.
Ich kam Anfang letzten Jahres von QNAP 509Pro (angeschafft 2009 nach Ausfall einer LacieNetzwerkfestplatte und war mit Qnap ziemlich zufrieden, keine Ausfälle oder Probleme); aber im März 2023 entschied ich mich für eine 1522+ (auch und insbesondere wegen der Software) und ich wurde nicht enttäuscht.
Gerade das Synology ABB für noch mitgeschleppte Windows PCs als Systembackup, war für mich durchaus ausschlaggebend. Funktioniert wunderbar. Früher nutzte ich dafür Acronis. Funzte auch top, kostete aber gast jedes Jahr. Wollte ich auch vermeiden.
es nervt, ich muss sowohl auf 716+II, 918+ und einer alten 115j nahezu immer manuell patchen.
Die Benachrichtigungen kommen wenn überhaupt dann sehr spät und das auch bei sicherheitskritischen Updates.
Mein nächstes NAS wird ein selbstbaugerät mit Unraid drauf.
Nach dem Update auf meiner DS918+ läuft smb und VPN nicht mehr mit ldap benutzern.
hat jemand ähnliche Probleme?