Toggle sidebar

DS-207+ smb Security Fix

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
die aktuellste Firmware (glaub 1299) hat den Fix gemäss changelog drin
 
Das ist richtig, nur leider wird die Firmware nicht für die DS-207+ angeboten. Mir würde es reichen, wenn ich den smb Part fixen könnte... Wobei Sicherheitsfixes für ältere Diskstations eigentlich angebracht wären.
 
dann solltest du das mal bei Syno direkt nachfragen. Sie sind die einzigen, die den Patch auch für ältere Modell liefern könnte
 
ich würde trotzdem mal Synology anfragen. Den Mac Support (afp) haben sie ja auch noch nachgeliefert für Modelle, die bereits über der Zeit waren. Sonst vielleicht mal bei ipkg schauen. Gut möglich, dass Samba aktualisiert wurde (bei einer solchen Lücke). Ich persönlich finde Synology sollte alle Sambaversionen (Modelle) patchen für die auch der Sambahersteller Patches liefert. Der Hersteller selber liefert ja Patches für ziemlich alte Sambaversionen
 
So eine "krasse" Lücke heißt letzendlich dass, das betreffende Gerät vom Netz muss, zumindest hab ich das so gemacht! Ich hasse es gut funktionierende Hardware wegschmeissen zu müssen nur, weil keine Patches mehr dafür erscheinen. Ich hoffe die Jungs überlegen sich etwas....
 
Ich kann deinen Unmut verstehen.. Nur wo zieht man die Grenze als Hersteller? Anzahl der Jahre des Gerät? Anzahl der verkauften Geräte?

Ein Patch für die Lücke bei alten Geräten würde sicherlich für den Hersteller sprechen.

Hast du denn eine Rückmeldung erhalten?
 
Hallo,
sicher ist die Lücke krass aber auch nur in bestimmten Umfeld gefährlich. Im privaten Umfeld gibt man eh smb nicht nach außen frei und somit bleibt nur noch der geneigte Hacker aus dem Kinderzimmer (wobei der hat die Passwörter eh schon:D). Ich hätte da überhaupt kein Problem mit so ein Teil weiter laufen zu lassen. Wer mag kann ja noch host allow=.. setzen und gut ist

Gruß Götz
 
@goetz
auch im Firmenumfeld hätte ich eher vor einem Bruch von innen Angst. Kaum eine Firma wird Samba nach extern freigeben. Auch der Host-Allow hilft nur bedingt, denn man will den Clients ja grundsätzlich den Zugriff erlauben. Vor einen Client der auf Samba zugreifen darf, kann man sich so also auch nicht schützen.
Ich fände es gut wenn Synology die Patches auch für alte Modelle liefern würde. zumindest dann wenn Samba selber Patches für die verwendete Samba-Version bietet
 
@Goetz

Du kannst zwar "hosts allow" Einträge in der smb.conf setzten, bringt aber nicht viel, da sich Client Adressen ganz leicht faken lassen.

Es ist richtig, dass man fürs "web" kein smb verwendet, sondern eher webdav, nichtsdestotrotz kann ich damit nicht ruhig schlafen, da viele auch nicht immer ganz koschere Leute dieses Subnetz mit eben diesen Fileserver verwenden.

Ich warte noch auf eine Antwort des Supports...
 
wie sieht eigentlich die Problembehebung (Patch) bei dem IPKG-Samba aus??? Gibt es da was???

Itari
 
Im ipkg-repository:

Rich (BBCode): 
samba36 - 3.6.4-1 - Samba suite provides file and print services to SMB/CIFS clients. This is a newer version.

Laut http://www.samba.org/samba/history/samba-3.6.4.html:

Rich (BBCode): 
Samba 3.6.4 Available for Download

                   =============================
                   Release Notes for Samba 3.6.4
                          April 10, 2012
                   =============================


This is a security release in order to address
CVE-2012-1182 ("root" credential remote code execution).

o  CVE-2012-1182:
   Samba 3.0.x to 3.6.3 are affected by a
   vulnerability that allows remote code
   execution as the "root" user.


Changes since 3.6.3:
--------------------


o   Stefan Metzmacher <metze@samba.org>
    *BUG 8815: PIDL based autogenerated code allows overwriting beyond of
     allocated array (CVE-2012-1182).

Dürfte damit afaik auch gefixt sein. Ggf ein "ipkg upgrade" durchführen, falls smb via ipkg installiert wurde.
 
wenn das IPKG-Samba den Patch enthält und auch für die DS107+ bzw. DS207+ erhältlich ist, dann könnte man probieren, auf das IPKG-Samba umzustellen ...

Itari
 
Hallo,
da viele auch nicht immer ganz koschere Leute dieses Subnetz mit eben diesen Fileserver verwenden
Zum Vergrößern anklicken....
da hilft dann aber nicht ein Loch zu stopfen und alle anderen offen zu lassen, php, apache, Kernel, mysql, psql usw.
In ein solches Umfeld gehören nur Geräte die man selbst zeitnah mit den Patches versorgen kann.

Gruß Götz
 
Hab eine Antwort bekommen...

Thank you for the inquiry.

Unfortunate we only fix it on DSM 3.2 and DSM 4.0.
Since DS-207+ could only be 3.1 1636, there is no fix for this issue now.
We will provide some fixes for the earlier model, please wait for the fix.

Sorry for this inconvenience.
 
das lässt doch hoffen :)

Itari
 
itari schrieb:
das lässt doch hoffen :)

Itari
Zum Vergrößern anklicken....
dann sollen sie gleich auch die Firewall Regel für Samba anpassen. Habe gestern auf die aktuellste Firmware "upgedated" und die Samba Regel ist immer noch falsch :-)
 
jahlives schrieb:
dann sollen sie gleich auch die Firewall Regel für Samba anpassen. Habe gestern auf die aktuellste Firmware "upgedated" und die Samba Regel ist immer noch falsch :-)
Zum Vergrößern anklicken....

Guter Hinweis

Itari
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten