Sicherheitslücken in Synology Photos / BeePhotos

[blurrrr]

Gibt wohl Sicherheitslücken in den Photo-Apps von Synology... heise.de hat vorhin einen Artikel dazu veröffentlicht:
Sicherheitsupdates: Schadcode-Attacken auf Synology-NAS möglich

 

[Barungar]

Ist natürlich "übelst", wenn man sich über die vermeintlich harmlose Photo-Apps (falls im Internet freigegeben) root-Recht auf einem entfernten NAS besorgen konnte.

Daher kann man immer nur sagen: "Auch wenn es doch nur ein paar Bilder sind... sowas gibt man auch nicht per https (443) im Internet frei." Will ich von unterwegs meine Bilder sehen, dann nehm ich ein VPN.

 

[the other]

Moinsen,
vor ein paar Tagen schon aktualisiert...
Davon ab: ich sehe es ja eh schon immer recht kritisch, einfach alles per https ins Netz zu stellen, damit die bucklige Verwandtschaft jederzeit Urlaubsfotos sehen kann (und nebenbei das System kompromittiert). Muss aber jedeR selbst wissen...
Daher 100 % bei @Barungar: VPN und gut.

 

[rednag]

Bei mehreren Benutzern und unterschiedlichen Endgeräten aber eher mühsam.
Oder auch entfernte (in Kilometern) Verwandten. Willst du überall das VPN einrichten?
Es soll ja auch weniger affine User geben.

 

[Barungar]

Mir geht es bei sowas nicht um die Photos. Aber genau um solche "Lücken", die eine größere Rechte-Eskalation erlauben. Und da sind NAS-Hersteller bei mir nicht hoch genug in der Vertrauensliste, dass ich mit ruhigem Gewissen auf deren "Lösungen" öffentliche Freigaben mache.

Da würde ich eher noch einer "generischen Cloud" oder einer Next Cloud bzw. Owncloud, die ich selbst installiert habe, mehr vertrauen.

Zum Thema "generische Cloud", wenn ich also Bilder mit mehreren Personen teilen wollte, würde ich die in die Google Cloud oder auf ein M$ OneDrive legen, und dann den Link dazu teilen. Da wüsste ich dann, wenn es kompromitiert sind, sind es "nur" die Bilder und eben nicht ein root-Zugriff auf mein NAS. Da liegen nämlich Daten, die ich NIE in die Cloud legen würde.

 

[the other]

Moinsen,
ich ergänze den Beitrag mal um ein kleines Update (harhar):
https://www.heise.de/news/Synology-...sche-Pwn2Own-Sicherheitsluecken-10004868.html
Da wird nochmal benannt, welche DSM Versionen aktuell als abgesichert betrachtet werden gegen die aufgetauchten Lücken, sowie auch, welche Pakete gefixt wurden und mit welcher Version jeweils.
Ich habe das eben mal alles auf die neuesten (im Artikel genannten) Versionen hochgezogen. Ich selber nutze kein Drive, aber durchaus die Pakete photos und Replication. Mit manuellem Download aus dem Synology Download Center war das bei meinen Systemen kein großer Akt...alles auf dem neuesten DSM 7.2.2 (wie auch im Artikel im link beschrieben).
Hier nochmal der link zum Downloadcenter:
https://www.synology.com/de-de/support/download

Da dann NAS auswählen, Modell angeben und nach den gesuchten Versionen Ausschau halten...
DO IT!