Kritische Zero-Day-Lücke in Log4j - ist DSM betroffen?

tproko

Benutzer
Mitglied seit
11. Jun 2017
Beiträge
2.058
Punkte für Reaktionen
244
Punkte
109
Ok, passt auch, dass du anderer Meinung bist (y)

Ich verfolge das wahrscheinlich (arbeitsbedingt) etwas mehr.
Hier gibt es schon genug andere Beispiele, die eher in die Richtung gehen: wir sind nicht betroffen, aber bitte kontrolliert eure Anwendungen. Siehe zB. Jboss wildfly
Gerade bei Servern oder eben auch NAS kann man ja durchaus was hosten, was betroffen ist.
 

Iarn

Benutzer
Mitglied seit
16. Jun 2012
Beiträge
2.544
Punkte für Reaktionen
82
Punkte
88

Matthieu

Super-Moderator
Teammitglied
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
86
Punkte
344
Security Advisories werden von Synology auch bei Bedarf als CVE gemeldet. Und CVEs unterliegen bestimmten Regeln. Da kann man nicht zum Rundumschlag ausholen. IMHO sind Statements wie auf reddit wichtig, um Endanwender zu erreichen, während Security Advisories über definierte Wege an kundige Personen verteilt werden und daher auch bestimmten Formen folgen müssen.

MfG Matthieu
 
  • Like
Reaktionen: frimp
Mitglied seit
30. Jan 2014
Beiträge
11
Punkte für Reaktionen
0
Punkte
1
Ok, passt auch, dass du anderer Meinung bist (y)

Ich verfolge das wahrscheinlich (arbeitsbedingt) etwas mehr.
Hier gibt es schon genug andere Beispiele, die eher in die Richtung gehen: wir sind nicht betroffen, aber bitte kontrolliert eure Anwendungen. Siehe zB. Jboss wildfly
Gerade bei Servern oder eben auch NAS kann man ja durchaus was hosten, was betroffen ist.

TL;DR: synology als NAS Firma hat ihre pflicht erfüllt, unwissende user bitte checkt eure Java Packages :)


war auch gerade auf der suche nach den infos. mein background: bin java softwareentwickler

genau das was synology offiziell gepostet hat ist das was ich erwarte zu finden.
warum?
ganz einfach!
grundlegend ist einmal, das system das sie anbieten, dass was sie warten und worüber sie informieren müssen.
nun haben sie keinerlei java applikationen laufen.
java existierte bis DSM6 als package das man installieren kann. gut beim 7er fällt auch das flach.

wenn ich jetzt selbst AKTIV java installiere weiß ich ja auch welche java apps ich infolge dessen laufen lasse.
alle standard packages kommen ohne java aus, und genau das bestätigen sie uns im advisory.


wenn ich jetzt selbst einen server installiere der von außen erreichbar ist und der auf java läuft dann muss ICH nachschauen was der hersteller der software sagt, und nicht der hersteller der NAS.

ich kann ja auch nicht von HP verlangen mir zu sagen, welche lücken mein Windows 10 hat das auf meinem ZBook läuft.
genau so wenig kann microsoft was dafür wenn ich mir java installiere und dort dann vulnerable programme starte.

von synology zu verlangen alle packages die verfügbar sind zu checken, zumal die nun zur gänze aus 3rd party bstehen,
gehört wirklich nicht zu deren aufgaben. da muss man sie wirklich in schutz nehmen :)

somit stimme ich @Wadenbeißer zu.



NICE TO HAVE ... natürlich ... wenn einem mitarbeiter so langweilig ist, um einen offiziellen news oder blog artikel zu schreiben
in dem steht "checken sie bitte alle laufenden java apps. hierfür können wir keine garantie übernehmen" hilft das vielleicht einigen.

aber immer im verhältnis sehen wer wofür zuständig ist oder hat euch ein autohändler schon mal gesagt, bitte zünden sie keinen böller innerhalb des autos? weil nichts anderes ist es. zero day exploits sind tickende bomben im system.
 

tproko

Benutzer
Mitglied seit
11. Jun 2017
Beiträge
2.058
Punkte für Reaktionen
244
Punkte
109
Weiter gehts mit dem patchen. log4j 2.16.0 wurde bereits released.

CVE-2021-45046: Apache Log4j2 Thread Context Message Pattern and Context Lookup Pattern vulnerable to a denial of service attack
 

Wadenbeißer

Benutzer
Mitglied seit
10. Okt 2018
Beiträge
884
Punkte für Reaktionen
210
Punkte
69
Kannst Du Deine Sicht etwas näher begründen?

Synology bewertet. nur ihre eigenen Produkte und APPs. Da die anderen nicht erwähnt werden sind sie potenziell als Risiko einzustufen. Ergo muss das nicht extra erwähnen.
 

Iarn

Benutzer
Mitglied seit
16. Jun 2012
Beiträge
2.544
Punkte für Reaktionen
82
Punkte
88
Das ist mir ehrlich gesagt zu viel Implikation des Indirekten mit dabei.
 
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup