Man muss denke ich davon ausgehen, dass auch der Sambadienst auf den QNAPs betroffen ist. Gibt es schon Anzeichen eines Updates?
Edith meint, dass Synology schon updatet https://www.heise.de/forum/hei…ar/posting-30448506/show/
Man muss denke ich davon ausgehen, dass auch der Sambadienst auf den QNAPs betroffen ist. Gibt es schon Anzeichen eines Updates?
Edith meint, dass Synology schon updatet https://www.heise.de/forum/hei…ar/posting-30448506/show/
Ja Synology reagierte innerhalb eines Tages nach bekannt werden
Zitat" Fixed Issues
Fixed a security vulnerability regarding samba service (CVE-2017-7494)."
Bin ich mal gespannt wann Qnap in die Puschen kommt...
Bin ich mal gespannt wann Qnap in die Puschen kommt...
Schneller als du denkst
Man möge mir die eventuell saudumme Frage verzeihen: Wo kann ich ersehen, ob das Samba auf einer Kiste die aus Gründen auf 3.8.1 bleiben sollte, noch nicht oder auch schon betroffen ist, und wenn es denn betroffen ist und kein Patch oder Update möglich, wie kann man diese Kiste dann sichern? Die Kiste ist NICHT aus dem Internet erreichbar.
Nun, selbst wenn das NAS vielleicht nicht von genau dieser Sicherheitslücke betroffen sein sollte, so doch von den zig anderen, die bisher in höheren Versionen gefixt wurden.
Somit musst du dir über die aktuelle Sicherheitslücke keine Gedanken machen. Da gibt es wesentlich bekanntere und kritischere in deinem System.
OK, immer unter dem Aspekt, daß die Kiste aus dem Internet von draußen nicht erreichbar ist, wohl vertretbar, wenn ich nix ganz grobes verpaßt habe. Ich hab Gründe, nicht auf 4.x gehen zu wollen, Speicherpool; einzelne Platten aus einem RAID1 nicht "normales" ext4; spätestens wenn man nicht von 3.x auf 4.x migriert sondern mit frischen Platten neu aufsetzt). Wie sehe ich, welche Version von Samba auf meiner Kiste läuft (der Bug sollte ja bei manchen steinalten noch nicht vorhanden sein.
Wie sehe ich, welche Version von Samba auf meiner Kiste läuft
Auf der Konsole (SSH) den Befehl "/usr/local/samba/bin/smbd -V" ausführen.
der Fix ist seit Samstag verfügbar: "Qfix for CVE-2017-7494-ARM-marvel"
https://www.qnap.com/de-de/product_x_down/product_down.php?type=2&II=77
Wann ist mit einem Firmwareupdate zu rechnen, das nicht nur diesen Workaround nutzt?