Synology schließt Schwachstellen: DSM 7.2.2-72806-1 und mehr veröffentlicht

Besitzer von Synology-Geräten, aufgepasst. Das Unternehmen schließt weitere Pwn2Own-Sicherheitslücken. Das betrifft sowohl einige Pakete der Software als auch die Betriebssysteme Synology DSM und BeeStationOS für die BeeStation. Zum Zeitpunkt unserer Veröffentlichung sind die Systemseiten noch ohne Hinweis auf das Update, aber auf den Servern findet man schon die neuen Dateien, des Weiteren sind die jeweiligen Security Advisiorys raus. Beispielsweise ist DSM 7.2.2-72806-1 erschienen und patcht kritische Schwachstellen, wer noch auf Version 7.1 ist, muss auf das Update warten. Innerhalb der nächsten 30 Tage will man da Updates anliefern.

Zur Meldung Synology-SA-24:20 DSM (PWN2OWN 2024): Die erste Schwachstelle, gelistet als ZDI-CAN-25403, eröffnet Angreifern die Möglichkeit, aus der Ferne beliebigen Code auf betroffenen Systemen auszuführen. Eine weitere Sicherheitslücke, ZDI-CAN-25487, ermöglicht es Angreifern, die sich in einer Man-in-the-Middle-Position befinden, administrative Sitzungen zu übernehmen. Bei einem Man-in-the-Middle-Angriff positioniert sich der Angreifer zwischen zwei kommunizierenden Parteien und kann den Datenverkehr abfangen und manipulieren.

Die dritte Schwachstelle, ZDI-CAN-25613, gestattet es Angreifern, aus der Ferne auf bestimmte Dateien zuzugreifen und diese zu lesen. Diese Art von Schwachstelle kann zur Offenlegung sensibler Informationen führen. Die vierte identifizierte Sicherheitslücke, ZDI-CAN-25617, ermöglicht es Angreifern in unmittelbarer Netzwerknähe, durch einen Man-in-the-Middle-Angriff bestimmte Dateien zu manipulieren.

Wer sein NAS da im Netz hat, sollte also vielleicht die Augen aufhalten, wenn die Updates ankommen, bzw. manuell tätig werden.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

4 Kommentare

  1. Danke für die Meldung, installiert und rennt…

  2. Ike Broflovski says:

    Dias ist nicht die einzige Sicherheitslücke bei DSM 7.1. Die anderen Updates wurden von Synology auch nur „angekündigt“ und wurden bis heute nicht behoben. DSM 7.1 bekommt noch bis nächstes Jahr Sommer Sicherheitsupdates.

  3. BTW: Kann jemand einen würdigen Nachfolger für eine 213+ empfehlen??

    MfG

    • Ike Broflovski says:

      224+ wenn es noch ein bisschen mehr sein darf, ein Gerät mit NVMe (wird nicht offiziell als Volume von Synology supportet). Einen Dualcore-NAS wie bei der 723 würde ich aber auch nicht in 2023 kaufen. Warum Synology solche SoC ausgesucht haben, wissen sie wohl selbst nicht, außer dass diese sehr günstig gewesen sein müssen.

      Ich selbst gehe aktuell mit Ugreen fremd, habe aber auch DS und weitere TinyPCs (Intel I5) mit DSM 7.2.x.
      Es kommt aber darauf an, was du machen willst.

      Beachte, dass meist im Herbst bzw. Oktober/November neue Geräte von Synology releast werden. Ich würde aktuell noch abwarten, was passiert. Die 24er-Modelle waren eigentlich nur „umgelabelte“ 20er-Modelle mit kleinen Änderungen (Gehäuse, max. RAM und keine NVMe): 720+ > 224+ bzw. 920+ > 224+.

      Ich wette, dass diese 24er-Modelle einen kürzeren Supportzeitraum haben wie aktuell bei den 15er-Modellen auch. Das liegt an dem verwendeten Prozessor und nicht an der DiskStation-Bezeichnung. Wenn die 720+ und 920+ von der Hardware abgeschrieben sind, wird das 1:1 auch die 24 Modelle betreffen. Somit sind das ca. 4 Jahre weniger Softwaresupport. Das sollte jeder sich vorher genau überlegen, weil im Worst Case schon ca. die Hälfte der Supportlaufzeit abgelaufen ist!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.