News 10.04.2014, 13:50 Uhr

Achtung: Synology-Update legt NAS flach

Heute erschien ein Synology-Update wegen der SSL-Lücke. Fassen Sie das Update vorläufig besser nicht an. Einigen Nutzern hat das Update das NAS komplett lahmgelegt.
Version 5.0 4458 Update 2 könnte Ihr NAS flachlegen: Wir raten davon ab, das Update vorläufig anzufassen
Wegen der OpenSSL-Sicherheitslücke «Heartbleed» wollte Synology sogleich ein Update nachliefern, weil Heartbleed bei ungepatchten Servern das Auslesen von Daten ermöglichen könnte. Betroffen sind vor allem Linux-Server. Auch die Synology-Software ist ein Linux-Derivat. Entdeckt wurde der grosse SSL-Bug erst am 8. April 2014. Synology hat bereits für seine DiskStations ein Update auf die Version 5.0-4458 Update 2 veröffentlicht, wie einige NAS-Nutzer dem Caschys Blog meldeten. Das DSM-Update sollte nach Zurücksetzen des Admin-Passworts sämtliche mit Usern geteilte Ordner neu mounten. Zudem wollte Synology einen Bug bei der Indexierung von Medieninhalten beheben. Leider wurden nicht nur Bugs behebt, sondern einige NAS-Modelle komplett lahmgelegt!
Einige Anwender berichten inzwischen im Synology-Forum davon, dass dem NAS nach der Installation des Patches keine IP mehr zuweisbar sei oder der MyDNS-Dienst nicht mehr funktioniere. Wieder andere berichten davon, dass die Syno überhaupt nicht mehr ansprechbar sei und keine weiteren DSM-Installationen mehr ermögliche.
Wir werden die Situation im Auge behalten und raten Ihnen vorläufig davon ab, dieses Update einzuspielen.

Autor(in) Simon Gröflin



Kommentare
Avatar
Telaran
11.04.2014
Wenn man das Forum genauer liest, muss man hier differenzieren. Ich selber habe ohne Probleme auf das Update anheben können. DS410, feste IP und das Gerät habe ich nun seit 27.07.2010. Ich hatte bisher nie Probleme mit Updates und der Support war Hilfsbereit/Schnell, auch wenn er beim Thema nicht wirklich helfen konnte (Verschlüsselte Ordner und kein Zugriff via GUI mehr möglich, aber via SSH klappte es dann und konnte selber die Daten rausholen) Es ist eben ein Dilemma. Sofern die DS von aussen erreichbar ist muss man das Update einspielen oder solange halt die Verbindung nach aussen kappen.

Avatar
wicked
11.04.2014
Update mit DS1812+ problemlos Hab das Update heute morgen auf meiner DS1812+ installiert. Funktioniert ohne Probleme.

Avatar
Simon Gröflin
12.04.2014
Ich jedenfalls getraue mich das bei meiner heimischen DS1511+ noch nicht ganz ... Wisst ihr was: Ich klär das gleich am Montag persönlich mit Synology, ob da schon was gefixt wurde und ein neuer Patch zum Aktualisieren hochgeladen wurde. Da kenne ich die PR-Dame recht gut. Wie mir ein paar Kollegen melden, gab es offenbar nur bei ein paar bestimmten Modellen Probleme. Wer nicht von extern auf die Syno zugreift, braucht das Update ja vorläufig, abgesehen von ein paar kleineren Bugfixes, ohnehin nicht zwingend. Ich halte euch auf dem Laufenden. lg Simon

Avatar
PC-John
12.04.2014
Synology hat heute Morgen eine diesbezügliche Mail an alle registrierten Anwender verschickt: Sehr geehrte Synology-Benutzer, eine Internetweite Schwachstelle namens „Heartbleed bug“ wurde in der beliebten Software Open SSL gefunden. Diese Software wird von den gängigsten und größeren Internetservices genutzt, darunter auch der MyDS Service und DiskStation Manager (DSM). Unsere Entwickler haben bereits das MyDS Center als auch DSM 5.0 gepatcht. Wir wollen unsere Kunden über folgendes informieren: • Der MyDS Center Server wurde gepatcht und kann gefahrlos genutzt werden. Obwohl es keinen Hinweis darauf gibt, dass Zugriff auf private Kundendaten erfolgte, bitten wir alle Nutzer als vorbeugende Maßnahme Ihr MyDS Passwort zu ändern. • Das DSM 5.0-4458 Update 2 istam 10. April erschienen. Alle Nutzer mit DSM 5.0 & DSM 4.3 möchten wir dazu auffordern, die folgende Sicherheitsanweisungen zu befolgen. • Synology arbeitet mit Hochdruck an den Updates für DSM 4.2 und 4.3. DSM 4.2 Update wird in einer Woche zur Verfügung stehen. Nutzer die präferiert mit DSM 4.3 arbeiten erhalten das Update noch vor Ende April. • DSM 4.1 Nutzer sollten Ihre Systeme auf DSM 4.2 updaten. • DSM 4.0 und ältere Versionen sind nicht betroffen. Für Synology ist die Sicherheit der Software und der Nutzerdaten von höchster Wichtigkeit, ebenso wie eine offene und ehrliche Kommunikation mit den Kunden. Sollten Sie noch offene Fragen haben oder es Bedenken geben, so kontaktieren Sie uns bitte unter [email]security@synology.com[/email]. Mit freundlichen Grüßen Das Synology Entwicklungsteam Ich denke, das sollte Antwort genug sein zu diesem Thread. PC-John [Mod EDIT]Quote eingefügt, Nebuk[/Mod EDIT]

Avatar
Simon Gröflin
13.04.2014
Danke PC-John für den Post. Ja, das ist der gestrige Newsletter, der noch raus ist. Ist eigentlich schwer davon auszugehen, dass der Patch nachträglich gefixt wurde, wenn sie nach ein paar Tagen für den Release des Patches noch zusätzlich "Werbung" machen. Werde dennoch morgen bei Syno direkt nachfragen. Ich will da ein offizielles Statement. Ich will wissen, was genau das Problem war, und ob ein neuer (gefixter) Patch hochgeladen wurde. Liest man sämtliche Threads vom Syno-Forum, waren es offenbar vor allem J-Modelle, die in irgendeiner Form betroffen waren. lg Simon

Avatar
Simon Gröflin
14.04.2014
Hier noch das offizielle Statement von Synology auf meine Anfrage: Wir haben am 10.04.2014 das Update 2 veröffentlicht, mit dem CVE-2014-0160 gefixt wird. Das Update wird automatisch in allen im Internet befindlichen Systemen angezeigt und kann damit installiert werden. Ein entsprechender Newsletter dazu wird noch an alle bei MyDS registrierten Kunden verschickt. Vom 10.04. auf den 11.04. haben uns einige Informationen erreicht, dass zwei Modelle nach der Installation des Patches nicht mehr gestartet sind, bzw. im Zustand "migrierbar" verbleiben. Wir haben daraufhin Update 2 für diese beiden Modelle kurzfristig zurück gezogen und den Fehler analysiert. Aktualisierte Versionen von Update 2 wurden zwischenzeitlich für diese Modelle wieder freigegeben, so dass jetzt eine Aktualisierung auf allen Modellen durchgeführt werden kann. http://forum.synology.com/enu/viewtopic.php?f=108&t=84383 lg Simon