Synology DiskStation Manager (DSM) 4.3-3776 - Multiple Vulnerabilities

[die Wildsau]

Die Probleme mit meiner DS habe ich Synology über mehrere Monate verteilt mitgeteilt. Das fängt bei Hardwareproblemen, wie einem brummenden Deckel der DS412+ oder Temperaturproblemen und Originallüfterzwang bei der DS710+ an, geht bei einem Fehler in der 2-Stufen-Authentifikation weiter und hört dann bei einer unfreiwilligen Dateifreigabe an jedermann auf, gegen die auch der 2. laienhafte Patchversuch nichts half. Mehr? Synology gibt die Western Digital RE4 zwar für die DSsen frei, aber wenn es dann zu warm wird, ist WD schuld. Lächerlich.

Ich werde mich definitiv nicht nach den ganzen Problemen zurücksehen, die ich mit meinen DSsen hatte. Und ich werde mich auch nicht nach unseriösen Anfragen von Synology zurücksehnen, ob man denn man bitte Adminrechte und die Zugangsdaten zur DS haben könnte, um die Probleme zu fixen. Ich kaufe mir doch keine eigene Wolke, damit irgendwelche Leute darauf Zugriff haben. Schon gar nicht die Nichtskönner von Synology.
Von Apples OS X Server Software habe ich nichts geschrieben und auch nicht, das der RPi als NAS fungieren soll.

Ihr könnt Eure DSsen gerne behalten und auf irgendwelche Patches warten. Bei den Preisen habe ich jedoch andere Ansprüche an den Hersteller.
Ich bin dann mal weg. War eine schöne und lehrreiche Zeit hier im Forum. Machts gut.

 

[Frogman]

Na, einen brummenden Deckel musst Du bei 'nem Raspberry auf jeden Fall nicht befürchten - viel Spaß Dir auch weiterhin.

 

[süno42]

Hab' ne Mail mit Link auf diesen Forum-Artikel an die c't-Redaktion geschickt, weil in der c't-Netzwerke-Ausgabe 2013 ein NAS-Vergleich war, an dem auch Synology besprochen wurde (und der meine Bestellung der DS112+ nicht unwesentlich beeinflusst hat)

Hast Du schon eine Rückmeldung erhalten? Ich habe nämlich aufgrund eines Artikels aus 2012 gekauft.

Zudem ist dies nicht der einzige Thread, der Sicherheitslücken behandelt.

 

[dan-syn]

Hast Du schon eine Rückmeldung erhalten? ....

Ne, still ruht der See, keine Rückmeldung bisher. Hab' aber auch nicht die letzten c't-Ausgaben gecheckt, ob da vielleicht was erwähnt wird....
Benutze die DS112+ vorerst nur im LAN und bin echt zufrieden. Sehr leise (Bett steht nur 1 1/2 Meter neben der DS), schnell genug (25k Fotos), Logitech Media Server funktioniert aus dem Stand, Rechtevergabe etwas eigenwillig organisiert, aber man kriegt es hin. Hatte bisher nen Bubba Server von Excito und nen Sheeva Plug, beide mit Debian. Bei der Rechtevergabe im gemischten Win/Linux Mileu bin immer wieder an meine Grenzen gestossen ;-) und hab' schliesslich das das Handtuch geschmissen.

 

[Lapje]

Was mich mal interessieren würde...(sorry falls ich es überlesen haben sollte)

Was ist denn mit den Ordnern, welche verschlüsselt sind, kann auf diese auch zugegriffen werden?

 

[Nasgul71]

Hallo Leute,

schaut mal hier:

Ich glaube, dass es ein Update gibt, auch wenn ich zugegebener maßen keinen Plan von dieser Materie habe: 4.3-3776 Critical Update 3 vom 15.10.2013

http://www.synology.com/releaseNote_enu/DS211j.php?lang=deu


Gebt doch mal bitte Infos ob diese Lücke damit gefixt ist, Danke.

 

[süno42]

Ich habe mal DSM 4.3-3776-3 auf der DS213+ ausprobiert, mit dem Ergebnis…

1. Remote File Download --> funktioniert nicht mehr
2. Partial Remote Content Download --> funktioniert weiterhin
3. Remote Command Execution --> funktioniert nicht mehr

Punkt 1. und 3. sind möglicherweise korrigiert, leider gibt Synology keine genauen Informationen heraus, welche Lücken geschlossen wurden.


Viele Grüße
Süno42

 

[rthx]

Da kann ich mich mit meiner (alten) DS108j / DSM 4.0 glücklich schätzen, alle hier genannten Links (Sicherheitslücken) funktionieren beim mir nicht.

Gut dass für die DS108j keine aktuelleren DSM angeboten werden, sonst hätte ich sicher auch eine neue, unsicherer Version drauf.

 

[Lapje]

Gerade mal probiert und bei mir funzen alle Links bis auf den letzten...

 

[fcscholz]

Gerade mal probiert und bei mir funzen alle Links bis auf den letzten...

Echt? Aaaalso, der da:

https://diskstation:5001/webfm/webU.../////////////../../../../../etc/synoinfo.conf

Liefert bei mir nur eine Variablen-Litanei mit Fehlermeldungen, nichts Sensibles. Ich habe versucht andere Dateien nauszulesen, aber es geht nicht! Es kommt immer diese Litanei. Es scheint also "safe" zu sein!

https://diskstation:5001/phpsrc/web/sample.php

Liefert bei mir nur den Inhalt der PHP-Datei, auch nichts Sensibles

https://diskstation:5001/webapi/audiostation.auth

Liefert bei mir nur den Inhalt der Skript-Datei, ebenso nichts Sensibles

https://diskstation:5001/webfm/sql/SharingMgrTemp.sql

Liefert bei mir einen 404-Fehler, sonst nichts.

 

[Lapje]

Ok, kann auch sein dass ich das falsch eingeschätzt habe...bei mir kommt auch bei den ersten drei irgendein Code...wie sollte dass denn aussehen wenn die Lücke noch da ist?

 

[fcscholz]

Ok, kann auch sein dass ich das falsch eingeschätzt habe...

Oder ich ;-)

bei mir kommt auch bei den ersten drei irgendein Code...wie sollte dass denn aussehen wenn die Lücke noch da ist?

Sensible Informationen! Bei dem ersten wurden Passworte im Klartext übertragen und solche Sachen! Bei mir kommt ungefähr das:

SYNO_FileStation_Strings={};
_s=SYNO_FileStation_Strings;
_s.acl_editor={};
_s.acl_editor['acl_rules_reach_limit']='ACL explicit permissions exceeds the maximum number of entries.';
_s.acl_editor['acl_rules_reach_limit_report']='Estimated number of entries: _count_ / Maximum number of entries: _maxCount_';
_s.acl_editor['add_inherited']='Include inherited permissions';
_s.acl_editor['admin_cannot_set_acl_perm']='The changes you made will not be applied because the administrator account "{0}" has full privilege control.';
_s.acl_editor['administration']='Administration';
_s.acl_editor['all_descendants']='All descendants';
_s.acl_editor['all_scope']='All';
_s.acl_editor['allow']='Allow';
_s.acl_editor['apply_to']='Apply to';
_s.acl_editor['change_permissions']='Change permissions';
_s.acl_editor['child_files']='Child files';
_s.acl_editor['child_folders']='Child folders';
_s.acl_editor['create_files_write_data']='Create files/Write data';
_s.acl_editor['create_folders_append_data']='Create folders/Append data';
_s.acl_editor['delete']='Delete';
_s.acl_editor['delete_subfolders_and_files']='Delete subfolders and files';
_s.acl_editor['deny']='Deny';
_s.acl_editor['effective_permission_inspector']='Permission Inspector';
_s.acl_editor['error_empty_apply_to']='Please select at least one item from "Applies to".';
_s.acl_editor['error_empty_permission']='Please select at least one permission.';
_s.acl_editor['error_invalid_user_or_group']='Please specify a valid user or group.';
_s.acl_editor['error_privilage_mode']='This shared folder is now changed to the {0} mode. Click the refresh button for the changes to take effect.';
_s.acl_editor['error_unknown_user_or_group']='The user or group has been removed.';
_s.acl_editor['inheriet_from']='Inherit from';
_s.acl_editor['list_folder_read_data']='List folders/Read data';
_s.acl_editor['make_inherited_explicit']='Make inherited permissions explicit';
_s.acl_editor['not_inherited']='None';
_s.acl_editor['perm_custom']='Custom';
_s.acl_editor['perm_full_control']='Full Control';
_s.acl_editor['permission']='Permission';
_s.acl_editor['permission_editor']='Permission Editor';
_s.acl_editor['permission_viewer']='Permission Viewer';
_s.acl_editor['read_attributes']='Read attributes';
_s.acl_editor['read_extended_atrributes']='Read extended attributes';
[...]

Da kann man nicht wirklich was mit Anfangen als "Hacker", oder?

Gruß

Florian

 

[Lapje]

genauso schaut das bei mir auch aus...

NUR: Sollte der Eindringling, wenn keine Lücken da sind, erst gar nicht überhaupt an irgendwelche Infos kommen? Also auch einfach eine 404 oder so?

 

[fcscholz]

Sollte der Eindringling, wenn keine Lücken da sind, erst gar nicht überhaupt an irgendwelche Infos kommen? Also auch einfach eine 404 oder so?

Das sehe ich allerdings in der Tat auch so! So wie ich den Support verstanden habe, wird das vollständige Schließen auch noch passieren. Allerdings ist - meiner Meinung nach - das "Fenster" jetzt gut vergittert. Ich bin noch am überlegen, ob ich die Box nicht so "hacken" kann, dass die 404er angezeigt werden, wenn man diese Links aufruft. Da der 5000/5001 nicht von mir ins Internet übertragen werden, habe ich wenig Angst. Wer wirkliche Sicherheit will, muss den Providervertrag kündigen!
GLG und schönes Wochenende

Florian

 

[süno42]

Da kann ich mich mit meiner (alten) DS108j / DSM 4.0 glücklich schätzen, alle hier genannten Links (Sicherheitslücken) funktionieren beim mir nicht.
Gut dass für die DS108j keine aktuelleren DSM angeboten werden, sonst hätte ich sicher auch eine neue, unsicherer Version drauf.

Bist Du Dir da ganz sicher?
Auch wenn die Lücken in genau dieser Ausprägung bei Dir nicht funktionieren, heißt nicht, daß sie nicht da sind. Ich würde da kritischer drauf gucken.

 

[tron911]

Hallo liebe Syno-Gemeinde


Ale Neuling habe ich mir eben den kompletten Thread durchgelesen und bin natuerlich auch wenig begeistert was ich zu lesen bekam. Auch wenn vielleicht nicht jeder der eine DS hat es beabsichtigt diese ueber das Inet zu bediehnen so sollten doch ein Zugang moeglich sein der die bis heute bekannten Sicherheitsprobleme bei der Softwareentwicklung beruecksichtigt. Wer wuerde sich denn noch ein Auto kaufen wenn bekannt wuerde das Bauteile verbaut wuerden bei denen es oeffentlich bekannt waere das die eines bestimmten Herstellers Fehlerhaft waeren und trotzdem weiter verbaut wuerden ?

Sowas wuerde ich "grob fahrlaessig" nennen

Da koennte man eventuell den Verdacht bekommen das "fertige Softwaremodule" verwendet werden und nicht neu programmiert wurde.

Wenn ich es auch versucht habe so ist es mir nicht an jeder Stelle gelungen der Sache ganz zu folgen. So wie ich es verstanden habe macht es keinen Unterschied ob nun Port 5000 oder 5001 (vom DSM) oder ein anderer "userdefined Port" einer anderen Synology Anwendung ins Inet zeigt.

Die Ports des Webservers fuer eigene Webseiten scheint davon aber nicht betroffen zu sein.

So schlimm die Luecken auch sind aber wie soll der "Normaluser" ich meine keine DAUs denn auf so etwas kommen.

In anbetracht der weiten Produktpalette von Synology ist aber schon sehr traurig wie man scheinbar mit diesem Thema umgeht.

Das NAS das ich habe duerfte zweifelsohne nicht in die "Spielzeugkategorie" zaehlen. Womit ich aber niemanden beleidigen moechte der "nur" ein kleins NAS von Syno oder einer anderen Firma besitzt. Ich bin nur jedesmal aufs neue entsetzt wenn eine meiner Meinung nach gute Hardware durch nicht fuktionierende oder fehlerhafte Software praktisch "useless" wird. Und bei einem Preis der 4stellig ist fuehle ich mich da schon irgendwie ver*****t

Ich muss da immer wieder an ein Produkt denken das ich vor ueber 20 Jahren erworben hatte mit der Aussicht auf ein Softwareupdate mit Funktionserweiterung. Das Update kam aber nie. Das Produkt war damals schon der Hammer aber die Huelle in der es steckte hatte mich bei dem Preis schon geschockt. Fuer mehr als 2000 DM hatte ich mehr erwartet als "nur" Plastik

Schlimm nur das zu viele Leute sich mit Hardware umgeben deren Software sie nicht verstehen ... und dadurch in eine Position gedraengt werden die ihnen Nachteile bringt. Schoenen Gruss an die "Generation Smartphone" etc

Kann denn schon Jemand etwas zu "Version: 4.3-3810 Update 3" sagen ?

Tron911

 

[Puppetmaster]

Die Lücken wurde doch mit DSM 4.3 geschlossen, oder irre ich mich?

Und noch ein (Grund)Satz von meiner Seite:
warum muss eine Kunststoffhülle immer schlechter sein als einer Metallhülle? Was ist bei einem solchen Produkt an Metall "wertiger"? Das will mir bis heute nicht einleuchten.
Kunststoff ist m.E. das höher entwickelte Produkt.

 

[tron911]

Und noch ein (Grund)Satz von meiner Seite:
warum muss eine Kunststoffhülle immer schlechter sein als einer Metallhülle? Was ist bei einem solchen Produkt an Metall "wertiger"? Das will mir bis heute nicht einleuchten.
Kunststoff ist m.E. das höher entwickelte Produkt.

Man kann sich natuerlich darueber streiten aber wenn man zb. sieht das ein anderes Produkt das einen Bruchteil von dem kostet mit einer stabilen Metalhaut daherkommt dann ist man bei einem Produkt fuer eben ueber 2000 DM schon etwas "grossaeugig"

Aber ... back zu DSM .. wenn ich mir die Liste Deiner Geraete so anschaue dann muesstest Du doch sagen koennen ob es noch geht oder nicht mit dem 3776-3 Patch

Tron911

 

[Puppetmaster]

...dann muesstest Du doch sagen koennen ob es noch geht oder nicht mit dem 3776-3 Patch

Müßte ich können, kann ich aber nicht.
Will heißen, ich hab's nicht ausprobiert.
Die einzige Kiste auf der bei mir ein DSM 4.3 läuft ist die "Spiel"-DS. Die ist nur selten in Betrieb. Und bisher hat mir da auch wirklich die Lust zu gefehlt die Leaks zu testen.

 

[Matthieu]

@tron911: Mit jedem Zero-Day-Exploit für Windows oder *nix-Systeme hast du genau das gleiche Problem. Synology hat nach eigenen Angaben das Problem mit 4.3-3776-1 behoben (hat der Support mir so mitgeteilt).

MfG Matthieu