DSM 7.2 DSM 7.2 and 7.1 - SMB Service Vulnerability - SA-25:07

[DaveR]

https://www.synology.com/de-de/security/advisory/Synology_SA_25_07

The fixed version was not available in Package Center for me yet so I downloaded it myself and did a manual package update.

Download SMB Service 4.15.13-2502 for DSM 7.2

Download SMB Service 4.15.9-0644 for DSM 7.1

 

[AndiHeitzer]

Hmmmm, welcher der Pakete passt zu meiner DS?
Wenn ich bei SYNO (https://kb.synology.com/de-de/DSM/tutorial/What_kind_of_CPU_does_my_NAS_have) gucke, dann kann ich die Architektur nicht mappen

 

[ctrlaltdelete]

DS415+
https://global.synologydownload.com...+&bays=4&dsm_version=7.1.1&build_number=42962
DS916+
https://global.synologydownload.com...+&bays=4&dsm_version=7.2.2&build_number=72806

 

[AndiHeitzer]

Bei mir sind's aber mehr, als die 916/415

Ich bin dann tatsächlich über das DownloadZentrum gegangen und habe alles Files manuell zusammen gesucht.

 

[Synchrotron]

Na ja, kommt auf die Exposition an. CVE 4,3 ist jetzt noch nicht „alles stehen und liegen lassen“. Außer es liegen besondere Umstände vor.

Ich warte mal ab, wie lange es dauert, bis das Update angeboten wird.

 

[Ulfhednir]

SMB ist ja normalerweise auch nicht von außen aufrufbar. Insofern ist das sicherlich nicht schön, aber kein Weltuntergang.
Wenn der Feind einmal im lokalen Netz ist, gibt es sicherlich noch 1000 andere Lücken zum anknüpfen.

 

[DaveR]

• If the NAS has an Intel or AMD CPU you need the x86_64 package.
• Monaco and armada38x are obvious. If you need either of those it will show Monaco or armada38x in the Paket-Architektur column.
• Realtek RTD1296 and Marvell A3720 (armada37xx) CPUs are both armv8.
• Anything else that is supported by DSM 7.2 would be armv7.

Or you can just try all 5 packages until one installs. DSM won't let you install the wrong package.

 

[Annika Hansen]

Vielleicht ein wenig off topic, aber warum dauert es bei Synology so ewig bis verfügbare Updates im Paketzentrum bzw. der Systemsteuerung angezeigt werden? Das sollte doch vollkommen unabhängig von der Kritikalität einer gefixten Lücke schneller möglich sein.

 

[maxblank]

Staged Rollout nennt Synology das.

 

[patrickn]

Damit man nicht Millionen Geräte lahmlegt, falls ein Update mal fehlerhaft sein sollte, Stichwort "CrowdStrike".

 

[atzebonn]

Bei 13 Millionen Installationen würd ich mir das auch überlegen...

@patrickn - Du warst schneller.

 

[Annika Hansen]

Also aus meiner Sicht ist das kein echtes Argument Updates/Patches nicht zeitnah bereitzustellen.

Gerade bei sicherheitsrelevanten Schwachstellen zählt jede Woche, ja oft sogar jeder Tag - Angreifer nutzen bekannte Schwachstellen oft innerhalb weniger Tage nach ihrer Veröffentlichung - langsame Patchzyklen bzw. eine verzögerte Bereitstellung auf den genannten Wegen bieten hier eine unnötige Angriffsfläche. Wenn (kritische) Patches verzögert beim Anwender ankommen, erhöht das unnötig das Risiko für alle Nutzer. In Zeiten, in denen Datenschutz und IT-Sicherheit eine immer größere Rolle spielen, ist das einfach nicht mehr zeitgemäß.

 

[D_Espero]

nicht mehr zeitgemäß.

Das machen fast alle Anbieter so.

 

[Ulfhednir]

Also aus meiner Sicht ist das kein echtes Argument Updates/Patches nicht zeitnah bereitzustellen.

Das ist klassisches Risikomanagement. Welches Risiko wiegt jetzt höher? Dass ein Hacker aus dem lokalen Netzwerk deinen SMB-Server kompromittiert oder du mit einem potenziell fehlerhaft belasteten Update Millionen von Systemen abschießt?

 

[atzebonn]

Ich habs vor einiger Zeit selbst miterlebt: Fehlerhaftes Update für etliche Tausend PCs gleichzeitig ausgerollt und es ging fast 2 Tage lang nicht viel. Das Schlimme ist, dass ein Update-Fehler für ein Teilsystem oft dafür sorgt, dass die ganze IT-Landschaft bebt.

Ich hoffe, man hat daraus gelernt und ändert den Ablauf.

 

[PoppyMae87]

Danke für die Info und die direkten Links! Bei mir war das Update im Paketzentrum auch noch nicht sichtbar. Manuelle Installation hat aber problemlos geklappt. Sicher ist sicher.

 

[DaveR]

Welcome to the forum @PoppyMae87