Synology Sicherheitslücke SA-22:03 DSM

Tommes

Active member
Hm… authentifizierten Benutzern … bedeutet doch erstmal, das die Benutzer dem System bereits bekannt sind, oder? Und wenn man angemeldet ist kann man, je nach Benutzerrechten logischer Weise auch viel Schaden anrichten. Egal…

Bei heise.de gibt es auch einen Artikel zu dem Thema *klick*
 

Barungar

Active member
Hm… authentifizierten Benutzern … bedeutet doch erstmal, das die Benutzer dem System bereits bekannt sind, oder? Und wenn man angemeldet ist kann man, je nach Benutzerrechten logischer Weise auch viel Schaden anrichten. Egal…

Naja, der authentifizierte Benutzer kann beliebige Befehle remote ausführen! Im Prinzip ist damit jeder Benutzer, selbst wenn er nur Leserechte auf eine Freigabe hat, Admin auf diesen Devices.
 

Tommes

Active member
Für DSM 6 gibt es bereits ein Update *klick* Für DSM 7 wohl noch nicht. Warum das so ist, darüber wird in einem anderen Forum schon munter philosophiert, möchte mich an diesen Spekulationen aber nicht beteiligen. Es wird sicherlich ziemlich bald ein Fix für DSM 7 geben. Böstümmt!
 

RichardB

Active member
Ah, danke. Ich hab es im anderen Forum gerade auch gelesen.
Was DSM7 betrifft: Wer es hat, hat es eben ... 😁
 

the other

Well-known member
Moinsen,
stopft das Update denn die bekannt gewordene Lücke? In den Release Angaben finde ich dazu nicht direkt was...und der Status ist noch immer "ongoing"...
 

the other

Well-known member
Moinsen,
tjaha, das kann ich...Fragen aller Art: gute, dumme, richtig doofe...und immer wieder auch überflüssige oder solche die bereits mehrfach beantwortet wurden... :)

Ich befürchte, dass die hier thematisierte Lücke im DSM 7 durch das 7.0.3er Update noch nicht geschlossen wird, denn sonst hätte die Presseabteilung von Synology sicherlich etwas dazu veröffentlicht...also warten.
 

Jagnix

Member
Die wird bestimmt mit 7.1 gefixt ... :)

Da ich gerade 7.1 erwähnt habe. Meine DS218+ hat mir gerade ein Update von USB-Copy installiert. In den Notes stand : Kompatibel zu 7.1. Wird also nicht mehr lange dauern.
 

Tommes

Active member
Vielleicht ist diese Sicherheitslücke unter DSM 7 auch garnicht so gravierend wie unter DSM 6. Mit DSM 7 wurden ja diverse Vorkehrungen getroffen um die Systemsicherheit zu verbessern. Aber natürlich ist das eine reine Vermutung von mir und kann somit auch völliger Quatsch sein.
 

RichardB

Active member
Fragen aller Art: gute, dumme, richtig doofe ...
Berechtigte würde ich meinen. Wegen des Fadens im anderen Forum hab ich jetzt mal die Firewall meiner 218+ gecheckt und das gefunden:
Firewall.jpg
So eine Regel habe ich nie geschrieben. Und ich kann mich auch nicht erinnern, bei einem Update je gefragt worden zu sein, ob ich diese Regel einfügen möchte. Interessant ist, dass diese Regel auf meinen anderen DSen nicht eingefügt wurde. Ein wenig seltsam ist das schon. :oops:
 

blurrrr

Well-known member
Solche Dinge sind doch immer die besten... erinnert mich ein wenig an Windows, wo auf einmal auch die ganzen GPO-Settings bzgl. der Updates wieder zurückgesetzt worden sind :rolleyes:
 

the other

Well-known member
Moinsen,
da hab ich doch gleich nochmals nachgeschaut...bei mir gibt es so ne Regel nicht, hab ich bisher auch nach keinem einzigen Update so erlebt. Echt crazy, mensch sollte ja denken: wenn es daran liegt, dann passiert das bei allen...tja, denkste!
Ich erleb es aber auch gerade bzgl. pfsense Update...da gibt es die unterschiedlichsten Fehler im Anschluss, soweit ich das überblicke (und das ist zugegebenermaßen nicht wirklich weit, also etwa Nasenspitze) auch ganz verschieden...von "alles läuft" über dies und das bis zu geht gar nicht mehr...

Tja, IT: nach dem Ende des "Wilden Westens" das einzig verbliebene Abenteuer...🤠
 

rednag

Well-known member
Mich hat meine DS1019+ gerade eben auf 6.2.4-25556 Update 5 hingewiesen welches auch die Lücke adressiert.

s1.JPG

Fixed Issues


  1. Fixed an issue where users couldn’t add Google or Outlook accounts at Personal > Email Delivery.
  2. Fixed an issue where sending a test email would fail if users selected Outlook as the service provider.
  3. Fixed multiple security vulnerabilities. (Synology-SA-22:03)
  4. Fixed an issue where filters might not work when users edit domain user or group privileges at Control Panel > Application Privileges.
  5. Fixed an issue where Avid Pro Tools couldn't save files via SMB.

Warum Update 4 ausgelassen wurde weiß ich nicht.
 

the other

Well-known member
Moinsen,
das ist ja lustig, denn ich sehe (vor 10 Sekunden voller Freude auf die geschlossene Lücke) dann leider dies:

ksnip_20220302-204256.png

ksnip_20220302-204043.png
Gucken die sich jetzt die Öffentlichkeitsarbeit bei der Konkurrenz Mit dem KUH ab (nein, es ist "dem" Kuh und nein, nicht Milka)??? :mad:
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
586
Beiträge
8.672
Mitglieder
204
Neuestes Mitglied
sina27
Oben