Kritische Zero-Day-Lücke in Log4j - ist DSM betroffen?

[enil-kil]

Hallo zusammen,

kann jemand sagen, ob DSM von der kritischen Log4j - Lücke betroffen ist?
Siehe: https://www.heise.de/news/Kritische...hrdet-zahlreiche-Server-und-Apps-6291653.html

Vielen Dank!
enil-kil

 

[mayo007]

Synology fragen?

 

[Penthys]

DSM läuft über nginx und nicht apache. Also vermutlich eher nicht.

 

[enil-kil]

Synology ist nicht betroffen, siehe:

Synology_Michael


·vor 2 Std.

Synology products are not affected
I confirmed with our PSIRT task force that Synology does not implement or use log4j across any of our products.
However, this obviously may not apply to any 3rd-party packages, containers, and VMs you have on your devices. Make sure you update those or apply the mitigation.

 

[tproko]

Nginx oder apache httpd ist da egal.

Es geht hier eher um Apache Projekte, die im Java Umfeld verwendet werden. Bibliotheken die log4j verwenden, sind potentiell betroffen.

Wir haben mittlerweile bei uns log4j aktualisiert. Mit aktueller Java Versionen konnte einer unserer Security Beauftragten den PoC nur zum Teil noch nachstellen, es klappt aber nur mehr ldap lookup, nicht die RemoteCodeExcecution.
Mit Standalone Anwendung und bewusst ältere Java Version wurde dann gedit geöffnet.

Also mMn ist Synology ohne Java bzw. ohne Anwendungsserver (wie Tomcat ) davon nicht betroffen. Ansonsten updaten … Java, log4j. Kommt aber ziemlich drauf an, was ihr am Laufen habt.

Schönen Abend.

 

[Hafer]

Synology ist nicht betroffen, siehe:

Synology_Michael

Hm, ein ergänzender Hinweis von/auf offizieller Seite wäre da vertrauensstiftender, als ein reddit-post

 

[CharlieL]

Sehe ich genauso! Warum schweigt Synology?

 

[tproko]

Gegenfrage gibt es von QNAP was offizielles?
Habe da auch noch nichts gefunden.

Also warum sollen sie für einen Java Exploit großartig was schreiben, wo doch zB. Java sogar von DSM7 verbannt wurde
Für Drittpakete kann sowieso kein Hersteller großartig was sagen.

 

[CharlieL]

Hallo tproko,
Sorry, ich bin kein Techniker und Synology verkauft auch an Nutzer. Als Nutzer benötige ich Aussagen von offizieller Seite, von einer Stelle, der ich vertrauen kann. Ist doch verständlich. Wenn sogar die Nicht-Fachpresse wie der „Spiegel“ dieses Thema (Log4j) mit Nachdruck bringt, scheint wirklich die Luft zu brennen…
Danke trotzdem für deine Antwort!
Grüße, Charlie

 

[Penthys]

Mit find / -type f -name 'log4j-core*' finde ich bei mir nichts auf der NAS selber. Was sich so in den Docker-Containern usw. rumtreibt steht auf einem anderen Blatt, hat aber mit Synology nichts zu tun.

 

[tproko]

@CharlieL ist klar, egal ob du dich als Nutzer siehst oder Techniker.

Mit dsm7 wurde java verbannt. Ohne 3. Anwendungen oder Docker ist also mal java weg.
Lies dir deinen Spiegel Artikel nochmal durch. Es geht um Java Anwendungen…!

Überspitzt gesagt, wäre es in etwa so, als wenn du erwartest, dass sich Synology zum Diesel Skandal meldet, dass da nix ist ;-)
Mit dsm6 gab es java Pakete, da würde ich mir Sorgen machen, wenn du die installiert hast.

Aber wofür nutzt du dein NAS überhaupt. Hast du ports nach außen offen? Wenn das nur im LAN ist, erübrigt sich deine Sorge.

 

[stevios]

Mit find / -type f -name 'log4j-core*' finde ich bei mir nichts auf der NAS selber. Was sich so in den Docker-Containern usw. rumtreibt steht auf einem anderen Blatt, hat aber mit Synology nichts zu tun.

Ich habe Docker laufen mit einem Pi-Hole-Container. Wenn ich es richtig verstehe, sollte man Docker aktualisieren. Leider wird im Paket-Zentrum nichts neues angeboten. Kann ich Docker auch irgendwie manuell aktualisieren?

 

[tproko]

Nein du musst nicht docker aktualisieren, sondern Images, welche java, tomcat oder dergleichen mit log4j am laufen haben…

 

[Jim_OS]

Bzgl. Docker zur Info: docker blog

VG Jim

 

[enil-kil]

Eben habe ich auf mein Support-Ticket folgende Antwort erhalten.
Demzufolge soll heute ein offizieller Artikel (Security Advisory) von Synology zu dem Thema veröffentlicht werden.

"...
Dear Customer,

Thank you for contacting Synology Technical Support.

Although this Java library (log4j) is commonly used in different Frameworks like the Apache for example, I wish to inform you that, this doesn't have any effect on us because, we did not use this library. A security advisory will likely be released today on our homepage officially with regards to the CVE-2021-44228.

I will suggest that, you keep your applications and DSM updated regularly.

[...]
Technical Support Engineer
..."

 

[enil-kil]

Der offizielle Artikel ist nun online:

https://www.synology.com/en-us/security/advisory/Synology_SA_21_30

 

[tproko]

Finde ich nicht gut: sie warnen da im offiziellen Artikel nicht vor den Drittanwendungen… auf reddit (siehe Post #4) haben sie explizit darauf hingewiesen.

Jetzt wähnen sich wieder einige in falscher Sicherheit…

 

[Jagnix]

Finde ich nicht gut: sie warnen da im offiziellen Artikel nicht vor den Drittanwendungen

Echt jetzt ?

 

[tproko]

Ja echt jetzt. Soviele Unklarheiten wie sich hier in den paar Posts schon finden, gehen sicher manche auf die Seite von Synology, lesen "oh super, DSM7 ist sicher". Und denken nicht darüber nach, was sie eigentlich so am Laufen haben mit Docker und co.

Da finde ich diese Info bei weitem hilfreicher:
"I confirmed with our PSIRT task force that Synology does not implement or use log4j across any of our products.
However, this obviously may not apply to any 3rd-party packages, containers, and VMs you have on your devices. Make sure you update those or apply the mitigation."

 

[Jagnix]

Sehe ich anders.