Synology DiskStation Manager (DSM) 4.3-3776 - Multiple Vulnerabilities
- Ersteller fbartels
- Erstellt am
- Status
Hallo fbartels,
Bücher und Hardware zum Thema gibt es bei Amazon: Synology DiskStation Manager (DSM) 4.3-3776 - Multiple Vulnerabilities
Bücher und Hardware zum Thema gibt es bei Amazon: Synology DiskStation Manager (DSM) 4.3-3776 - Multiple Vulnerabilities
Ich habe zu diesem Thema gestern mal Synology kontaktiert, mit dem Ergebnis, daß sie angeblich noch immer von nichts wußten. Ich habe in der Anfrage ausdrücklich auf die gut beschriebenen Exploits und diesen Thread verwiesen. Als Antwort kam, daß ich bitte nicht auf Foren verweisen soll, sondern genau mit Beispiel erklären möge, wie sich Sicherheitslücken ausnutzen lassen. Synology möchte trotz guter Dokumentation nochmals alles vorgekaut haben.
Das finde ich in Anbetracht der Problematik keinen guten Einstieg seitens Synology und zeugt nicht sonderlich von Kompetenz
Das finde ich in Anbetracht der Problematik keinen guten Einstieg seitens Synology und zeugt nicht sonderlich von Kompetenz
- Mitglied seit
- 03. Feb 2012
- Beiträge
- 18.991
- Punkte für Reaktionen
- 628
- Punkte
- 484
Das finde ich in Anbetracht der Problematik keinen guten Einstieg seitens Synology und zeugt nicht sonderlich von Kompetenz
Aber es war doch sicher genau das, was du auch erwartet hast, oder?
Nein, ganz und gar nicht. Ich hätte erwartet, daß Synology an diesem brisanten Thema Interesse bekundet und bemüht, die Ursachen zu ergründen und die Fehler schnellstmöglichst abzustellen. Aber stattdessen möchte man alles auf einem Silbertablet.
Also ich hatte mal ein Problem, welches im Forum lang und breit diskutiert und getestet wurde. Als ich da Synology mit kontaktiert hatte, verlangten sie alle möglichen Informationen, u. A. auch einen Link zum Thread, in dem das in diesem Forum diskutiert wurde. Von da her bin ich über die aktuelle Reaktion durchaus verwundert. Zumal die Sicherheitslücke als ziemlich kritisch eingestuft werden kann.
Matthieu
Benutzer
- Mitglied seit
- 03. Nov 2008
- Beiträge
- 13.222
- Punkte für Reaktionen
- 88
- Punkte
- 344
Mich würde der O-Ton mal interessieren. Bekannt ist es auf jeden Fall, die Frage ist ob das die über den Globus verteilten Support-Abteilungen schon alle kennen und ob sie es nicht vielleicht doch für eine neue Lücke halten. Ich hoffe mal du hast nicht auf deinen Beitrag mit den 4 Links verwiesen, sondern auf den Eintrag in den Exploit-DBs.
MfG Matthieu
Moin,
habe alle Links (leider nur mit den externen URLs) probiert und habe es nicht geschafft auch nur einen Exploit zu rekonstruieren (meine DS412+ läuft auch erst seit 2,3 oder 3 Tagen mit neuem DSM). Hmmm Er zeigt entweder "kene Verbindung" (über 5000, 5001 und alle NICHT bei mir freigegebenen Ports) oder auch die 404-Seite... Gutes Zeichen?
Frage: Wollen wir nicht ein Exploit-Wiki (besser Newsletter) zum Thema Sicherheit und DSM betreiben? Würde, so weit ich das kann/meine Fähigkeiten dazu reichen, sehr gerne mitwirken! Fazit --> Bei mir scheint alles Sicher, auch die Sysinfo. Gleich mal von INTERN versuchen!
LG
Florian
habe alle Links (leider nur mit den externen URLs) probiert und habe es nicht geschafft auch nur einen Exploit zu rekonstruieren (meine DS412+ läuft auch erst seit 2,3 oder 3 Tagen mit neuem DSM). Hmmm Er zeigt entweder "kene Verbindung" (über 5000, 5001 und alle NICHT bei mir freigegebenen Ports) oder auch die 404-Seite... Gutes Zeichen?
Frage: Wollen wir nicht ein Exploit-Wiki (besser Newsletter) zum Thema Sicherheit und DSM betreiben? Würde, so weit ich das kann/meine Fähigkeiten dazu reichen, sehr gerne mitwirken! Fazit --> Bei mir scheint alles Sicher, auch die Sysinfo. Gleich mal von INTERN versuchen!
LG
Florian
Nachtrag:
Wenn ich die Quelle (http://seclists.org/fulldisclosure/2013/Sep/53 ) richtig verstehe, sind die Exploits noch nur relevant, wenn die DSM-Oberfläche (5000) von außen zugänglich ist, oder?
Verwegene Idee: könnten wir nicht die gröbsten schnitzer im CGI-Skript flicken? Gerade das mit der Übergabe des Sprach-Parameters? (Das scheint der schlimmste Fehler zu sein)
(btw: Gibt es Quellen für solche Vulnerabilities/Exploits, die man abonnieren könnte?)
Wenn ich die Quelle (http://seclists.org/fulldisclosure/2013/Sep/53 ) richtig verstehe, sind die Exploits noch nur relevant, wenn die DSM-Oberfläche (5000) von außen zugänglich ist, oder?
Verwegene Idee: könnten wir nicht die gröbsten schnitzer im CGI-Skript flicken? Gerade das mit der Übergabe des Sprach-Parameters? (Das scheint der schlimmste Fehler zu sein)
(btw: Gibt es Quellen für solche Vulnerabilities/Exploits, die man abonnieren könnte?)
Ich habe natürlich primär auf die Exploit-DB verwiesen und diesen Thread optional angegeben. Eine erneute Rückmeldung von Synology war gestern, daß es doch bekannt ist und in einen der nächsten DSM-Versionen behoben wird. Letzteres ist natürlich auch nicht zufriedenstellend. Do etwas gehört als Hotfix und Patch außerhalb der Releaseplanung behoben, wie es für jedes Softwareprojekt üblich ist oder sein soll.
Gerade jetzt, wo der DSM ja auch Mini-Updates beherrscht, sollte es prinzipiell möglich sein, da schnellstens einen Flicken zu verteilen. Es gibt ja inzwischen die DSM 4.3 - 3776-1
Also ich habe nochmal ausgiebig getestet und auf die ganz neue Version (DSN 4.3-3776-1) geupdatet.
Der Angriff mit der System-Info geht bei mir definitiv NICHT mehr, sonst bei wem??
LG
Florian
Der Angriff mit der System-Info geht bei mir definitiv NICHT mehr, sonst bei wem??
LG
Florian
Hi,
bist Du sicher?
Das wäre ein Grund, für mich auf DSM 4.3 zu aktualisieren. Aber dem stehen die geschilderten Probleme entgegen. Hast Du beim Kopieren der URL von der Exploit-Seite auch darauf geachtet, daß keine Leerzeichen (kommen durch kopierte Zeilenumbrüche zustande) in der URL sind?
Viele Grüße
Süno42
bist Du sicher?
Das wäre ein Grund, für mich auf DSM 4.3 zu aktualisieren. Aber dem stehen die geschilderten Probleme entgegen. Hast Du beim Kopieren der URL von der Exploit-Seite auch darauf geachtet, daß keine Leerzeichen (kommen durch kopierte Zeilenumbrüche zustande) in der URL sind?
Viele Grüße
Süno42
Hi,
ne, leider nicht :-( geht doch noch.... komisch!
Ich hatte es getestet, dann die DSM-Version mit einem Update auf -1 gebracht und dann einfach reload im Browser gedrückt --> ging nicht mehr (ja ich habe gewartet, bis alle dienste wieder liefen) Ich habe dann die URL aus dem zweiten Poste mit Exploit-Urls kopiert, und da gings dann wieder! Komisch...
Der langen Rede gar kein Sinn: Selbst wenn es (ein wenig) besser geworden sein sollte: DIE LÜCKEN BESTEHEN DEFINITIV NOCH
LG
Florian
PS Wie ist denn das mit dem XSS? Kann man das nicht generell verhindern?
ne, leider nicht :-( geht doch noch.... komisch!
Ich hatte es getestet, dann die DSM-Version mit einem Update auf -1 gebracht und dann einfach reload im Browser gedrückt --> ging nicht mehr (ja ich habe gewartet, bis alle dienste wieder liefen) Ich habe dann die URL aus dem zweiten Poste mit Exploit-Urls kopiert, und da gings dann wieder! Komisch...
Der langen Rede gar kein Sinn: Selbst wenn es (ein wenig) besser geworden sein sollte: DIE LÜCKEN BESTEHEN DEFINITIV NOCH
LG
Florian
PS Wie ist denn das mit dem XSS? Kann man das nicht generell verhindern?
Faszinierend, ich wollte das ja gar nicht glauben!
Ich musste vorgestern meine DS komplett neu installieren und kann seit dem die Exploids auch nicht mehr nachvollziehen. Es scheint also entweder nur DS zu betreffen die von Versionen ab 4.2 upgedatet wurden, oder es liegt am bisher nicht installierten IPKG?!
Edit: Kommando zurück!
Die Exploids sind immer noch da!
Sobald man einen Benutzerdefinierten Port öffnet, kommen die Exploits darüber wieder herein. Also bei mir die AudioStation mit Port 8080, Scheiße!
Zuletzt bearbeitet:
Muss ich dich sehr enttäuschen, meine ist 2-3 Tage alt und komplett neu aufgesetzt, das IPGK ist auch nicht drauf :-(
Aber: Ich kann weder auf port 8080 noch auf port 80 oder 443 (80 und 443 sind die einzigen, die weitergeleitet werden) etwas verzeichnen, also von außen! Ist meine DS doch sicher? (Wie sicher ist eigentlich die Photostation?)
Was meint Ihr?
Gruß
Florian
Nachtrag:
Nein, ich schaffe es nur auf den Ports 5000 und 5001 die Exploits nachzuvollziehen. Von außern besteht keine Chance (immer 404-Fehler). Sicher?
Nein, ich schaffe es nur auf den Ports 5000 und 5001 die Exploits nachzuvollziehen. Von außern besteht keine Chance (immer 404-Fehler). Sicher?
Ja klar, ich habe den 5000 und 5001 gesperrt. Ich habe nur 443 und 80 offen, und denke, dass ich sicher sein sollte, oder?
LG
Florian
LG
Florian
Sorry an ALLE, die Exploids sind auch bei mit immer noch komplett!
Ich hatte nach der neuen Installation vergessen https wieder zu aktivieren, Asche auf mein Haupt
Edit: Schön wäre es, wenn Synology es endlich schaffen würde, ein Backup zur Verfügung zu stellen das den Namen auch verdient.
Zuletzt bearbeitet:
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
