Synology – Auf dem Weg der Besserung?

In der Vergangenheit war der Umgang von Synology mit Sicherheitslücken eher durchwachsen. Der jüngste Sicherheitsvorfall gibt aber Anlass zu Hoffnung.

In der Vergangenheit hatte ich den Umgang von Synology mit Sicherheitslücken im eigenen Betriebssystem DiskStation Manager kritisiert. Der Umgang mit dem neuesten Problem war aber deutlich besser. Die Probleme betrafen Netatalk. Das ist für Linux-Implementierung für das AFP-Protokoll, welches vor allem für Apple-Anwender von Bedeutung war und in Teilen immer noch ist, jedoch langsam aus der Mode kommt. Nichtsdestotrotz haben vor allem Besitzer älterer Macs oder einfach auch älterer Netzwerk-Setups das Protokoll noch oft aktiv und entsprechende Freigaben eingerichtet.

Folgende Sicherheitslücken waren aufgetreten:

  • CVE-2022-0194
  • CVE-2022-23121
  • CVE-2022-23122
  • CVE-2022-23123
  • CVE-2022-23124
  • CVE-2022-23125

Die Lücken waren Ende März bekannt geworden und betreffen eigentlich alle Linux-Distributionen und Linux-basierte NAS-Systeme, da alle auf die gleiche Linux-Implementierung des Apple-Protokolls setzen. Glücklich sind da Distributoren wie openSUSE oder Red Hat, die Netatalk schon länger nicht mehr unterstützen. SUSE hat für SLE 12 bereits einen Patch veröffentlicht, Debian zieht dann vermutlich irgendwann mal nach.

Grundsätzlich sollte Betroffene diese Lückenserie zum Anlass nehmen und sich fragen, ob sie AFP bzw. Netatalk wirklich noch benötigen oder nicht doch lieber auf SMB wechseln sollten. Das hat zwar auch immer mal wieder Probleme, aber abgekündigte Protokolle sind selten gut für die Sicherheit.

Synology hat jedenfalls relativ schnell einen Patch veröffentlicht und am 27. April für die Allgemeinheit ausgerollt. Die Updateaufforderung erreichte mich auch tatsächlich automatisch über das NAS und ohne manuelle Initialisierung. Möglicherweise ein glücklicher Zufall, aber man darf hoffen.

Kommentieren Sie den Artikel

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Ergänzungen werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Mehr aus dem Blog

Was ist eigentlich Betriebssystem und was Programme?

Bei Linux war bisher alles eins. Vom Kernel über die Firmware bis zum Tetrisspiel wurde alles über die Paketverwaltung installiert, aktualisiert und bei Bedarf...

Red Hat paketiert kein LibreOffice mehr

Das Red Hat Display Systems Team - also das Team, das sich um den Desktop kümmert - hat angekündigt, die Paketierung von LibreOffice für...

Realitäten sind grau

Wenn es um proprietäre und freie Software (im öffentlichen Dienst) geht, wird gerne ein Schwarz-Weiß-Bild gezeichnet. Dort der böse proprietäre Monopolist, der immer die...

Zwischenruf: Der Bund zahlt für Microsoft und die Open-Source-Peergroup lässt tief blicken

Ungefähr einmal im Jahr sind die Lizenzkosten von Microsoft in gewissen Kreisen ein Thema. Über 200 Millionen zahlt der Bund mittlerweile für seine IT....