DSM 6.x und darunter Sicherheitslücke in DSM 6 und 7

[Adama]

Hab's grade in Heise gelesen:
https://www.heise.de/news/NAS-Siche...bt-Ausfuehren-beliebiger-Befehle-6515542.html

Und die Meldung von Synology:
https://www.synology.com/en-global/security/advisory/Synology_SA_22_03

 

[Adama]

Ok, das manuelle Update auf meiner ollen DS413 ist durch. Ging schnell und ohne Neustart.

Dann warten wir mal auf 7.0.1-42218 Update 3...

P.S. Versionshinweise für 6.2:

Version: 6.2.4-25556 Update 5
(2022-02-22)

Important Note

    The update is expected to be available in all regions shortly, while the time of release in each region vary slightly. If you want to update your DSM to this version now, please click here.
    Only Synology NAS with DSM 6.2.4 installed can be updated to this version.

Fixed Issues

    Fixed an issue where users couldn’t add Google or Outlook accounts at Personal > Email Delivery.
    Fixed an issue where sending a test email would fail if users selected Outlook as the service provider.
    Fixed multiple security vulnerabilities. (Synology-SA-22:03)
    Fixed an issue where filters might not work when users edit domain user or group privileges at Control Panel > Application Privileges.
    Fixed an issue where Avid Pro Tools couldn't save files via SMB.

 

[Iarn]

Was mich wundert, wieso Synology die bei DSM schneller gefixed hat oder fixen konnte als bei 7.0

 

[AndiHeitzer]

6.2.4-25556-U5 auf meiner VDSM ging anstandslos ohne Reboot durch.

 

[Adama]

Was mich wundert, wieso Synology die bei DSM schneller gefixed hat oder fixen konnte als bei 7.0

Naja, Du darfst nicht vergessen, dass sich doch einiges in der Struktur bei DSM 7 geändert hat. Sowas kann natürlich auch das Patching erschweren.

 

[Iarn]

Das sollte es aber nicht, auf keinen Fall für den Ersteller der Software.

 

[Dennis-TW]

Vielleicht arbeiten die Synology Entwickler intern einfach lieber mit DSM 6 als mit DSM 7. Verstehen könnte ich es.

 

[Iarn]

^^ auch das wäre bedenklich

 

[Ulfhednir]

Oder die einfachste Erklärung: Vielleicht geht man einfach auf die Nutzerbasis ein. Die Mehrzahl dürfte wohl noch auf DSM 6.x setzen.

 

[Kurt-oe1kyw]

Auf den Synology's mit DSM 6.2.4-25556 Update 5 problemlos installiert ohne Neustart der Synologys.
Ich führe aber nach einem Update trotzdem ein manuelles Herunterfahren und Neustarten durch Drücken am Einschaltknopf durch.

Anmerkung:
HB und HB Vault haben auch gleich aktuelle Paketversionen erhalten.
Bisher alles ok.

Die Test DS 118 mit DSM 7 muss noch warten, da steht das Update 3 noch nicht zur Verfügung.

Danke an Adama für den Hinweis!

 

[geimist]

Die Mehrzahl dürfte wohl noch auf DSM 6.x setzen.

Wenn ich mir die Downloadzahlen von synOCR ansehe, würde ich das Verhältnis eher andersherum sehen. Ich denke, die User hier im Forum sind diesbezüglich nicht repräsentativ für die gesamte Nutzerbasis. Die meisten werden wohl das Update durchwinken.

Januar 2022:
synOCR für DSM7 ➜ 1146
synOCR für DSM6 ➜ 91

Februar 2022:
synOCR für DSM7 ➜ 531
synOCR für DSM6 ➜ 48

 

[Ulfhednir]

@geimist die Downloadzahlen von synOCR sind für mich nicht repräsentativ. Die meisten OCR-User dürften sehr ambitioniert und daher auch offen für neues sein. Für viele Ottonormalverbraucher dürfte das NAS auch "nur" ein Datengrab sein, was man hinstellt und laufen lässt.

 

[geimist]

Natürlich sind die nicht repräsentativ - ich fand es nur bemerkenswert. Vielleicht kann uns @Syno-OS einen Hinweis zur Verteilung von DSM6 und DSM7 sagen. Ich fänd's interessant

 

[megakeule]

Ist das wirklich der wichtiges Punkt in dieser Diskussion?

 

[RalfPeter]

Aus eurer Erfahrung: besser manuell jetzt sofort das Update5 machen oder warten bis es in der DSM angeboten wird?

Meine DS1513+ hat Update 3, DS1821+ hat Update 4

 

[tproko]

Wenn deine DS im Internet verfügbar steht (ohne vpn), würde ich früher als später updaten. Sonst kannst sicher auch noch warten.

 

[curt]

Ich hatte auf einer 218+ das Update

6.2.4-25556 Update 3​

bereits installiert,
dann das .5 manuell heruntergeladen ... und bekam die Meldung, dass nur neuere Versionen installiert werden dürfen. Ich versuche es morgen nochmal

 

[himitsu]

Hier steht auch Update 3 und dass es "aktuell" sei.

Also auch die 4 fehlt noch, welche laut ReleaseNote schon fast einen Monat alt ist ... wie lange dauert es denn, bis Synology das als Update anbietet?

 

[synfor]

Ich hatte auf einer 218+ das Update

6.2.4-25556 Update 3​

bereits installiert,
dann das .5 manuell heruntergeladen ... und bekam die Meldung, dass nur neuere Versionen installiert werden dürfen.

Was genau hattest du wo heruntergeladen?

 

[himitsu]

https://www.synology.com/de-de/support/download/DS918+?version=6.2#system
Dort gibt es bloß eine 6.2.4-25556 ohne Angebe des Update-Standes.

[add] auf "Alle Downloads" geklickt, da finde ich eine -5
https://archive.synology.com/downlo...927.888465447.1645620330-654447727.1633621514

Auch in der PAT, steht nichts von "Update". (smallfixnumber und nano sind 0)
Dann kann DSM ja garnicht sehen, dass diese Datei neuer wäre. (OK, abgesehn vom builddate)

VERSION:

majorversion="6"
minorversion="2"
major="6"
minor="2"
micro="4"
productversion="6.2.4"
buildphase="GM"
buildnumber="25556"
smallfixnumber="0"
nano="0"
base="25556"
builddate="2021/03/18"
buildtime="14:41:30"
unique="synology_apollolake_918+"
extractsize=740584
indexdbextractsize=5608
synohdpackimgextractsize=19060
packageextractsize=116744

[add2]
Die 6.2.4-25556-5 aus dem Archiv (Alle Downloads) wurde ganz flott installiert.
Aber warum installiert sich sowas nicht von selbt, bzw. wird nicht zum Update angeboten?

PS: in DSM-Security.json Version 5 stehen hier folgende Aktualisierungen:
phpmailer-5.2.x
samba-4.x
dsm-AdminCenter
webapi-AppPrivileges
netatalk-3.x
lnxsdk
selfcheck-cu05
smallupdate

Also irgendwas davon war wohl das mit dem Leck.