Update Politik (Thema abgetrennt)

    Für die Fujitsu CELVIN Qxxx-Serie gibt es keine 4.3.x, sondern die 4.2.6. Kann man dann davon ausgehen, dass diese überhaupt keine 4.3.x bekommen werden?


    Bei Synology gefällt mir die Update-Politik wesentlich besser:
    1. Kann man selbst wählen, ob man neue Major-Releases haben möchte oder "nur" Sicherheitsupdates
    2. Selbst wenn man sich gegen neue Major-Releases entscheidet, gibt es noch Monate/Jahre Sicherheitsupdates für die älteren Versionen


    Moderativer Hinweis: Ab diesem Beitrag wurden alle folgenden Beiträge von diesem ursprünglichen Thema abgetrennt Kommen noch 4.2.x (x =5) Sicherheitsupdates für supportete Produkte?

    @christian:
    Wie meinst du das? Irgendwie verstehe ich das nicht so richtig. Was kappt Synology? Also Sicherheitsupdates kommen bei Synology auch wesentlich schneller als bei QNAP (kürzlich bei der Samba-Lücke war das Update bei Synology nach einem Tag da, bei QNAP hat es eine Woche gedauert).

    Wenn ich so suche, http://www.igfd.org/?q=synology+wie+lange+updates dann finde ich Aussagen dazu, das Syno bis zu 3 Jahre Updates fährt. Das ist bei QNAP bei weitem länger.

    Zitat von networker83

    (kürzlich bei der Samba-Lücke war das Update bei Synology nach einem Tag da, bei QNAP hat es eine Woche gedauert).

    Entweder ich interpretiere diese Seiten falsch oder du bist falsch informiert ?

    Zitat von Synology
    25.5.2017 Important Information Regarding Samba Vulnerability (CVE-2017-7494)


    Grüße
    Christian

    Hallo @christian,


    also Synology macht für seine Produkte üblicherweise 5 Jahre Major-Updates, danach noch einige Zeit Sicherheitsupdates. Das mit 3 Jahren stimmt nicht!


    Und zur Update-Verfügbarkeit bei der Samba-Lücke war der Unterschied sogar noch größer:


    Synology: DSM 6.1.1-15101-4, erschienen 25.05.2017
    (z.B. für DS716+II)



    QNAP: QTS 4.3.3.0210, erschienen 07.06.2017


    (z.B. für TS-831X)



    In den Medien wurde die Lücke am 26.05.2017 großflächig publiziert:


    https://www.heise.de/security/…-und-patchen-3726053.html



    Zwischen Synology und QNAP liegen fast stolze 2 Wochen!


    Nichts für ungut, aber ich habe beide Systeme im Einsatz und habe daher immer und sofort den direkten Vergleich. Was bei Synology ebenfalls noch sehr positiv auffällt ist, dass es in aller Regel nur kleine inkrementelle Updates sind, die sehr schnell installiert sind. Vollständige Images wie bei QNAP sind nur bei neuen Major-Releases erforderlich.


    Gruß
    networker83.

    Zitat von networker83

    QNAP: QTS 4.3.3.0210, erschienen 07.06.2017


    (z.B. für TS-831X

    Stimmt so nicht ;) einfach mal richtig gucken :P Quelle https://www.qnap.com/de-de/pro…ct_down.php?type=7&II=237


    samba cry.jpg



    Zitat von networker83

    Was bei Synology ebenfalls noch sehr positiv auffällt ist, dass es in aller Regel nur kleine inkrementelle Updates sind, die sehr schnell installiert sind. Vollständige Images wie bei QNAP sind nur bei neuen Major-Releases erforderlich.

    Das stimmt, wobei die Zeit zeigen wird was noch alles kommt ;)

    Über das Qfix wurde man noch nichtmal beim Login auf dem NAS informiert.

    Beim Thema Sicherheit ist QNAP einfach schlechter, siehe Verwendung von Flash in offiziellen Apps, veraltete Versionen mit Sicherheitslücken im HybridDesk und eben die Reaktionszeit bis zum echten Update auf     die Sambalücke o.ä.

    @christian:
    Ja ja, das Qfix. Meine ehrliche Meinung dazu: Die ganzen Qfixes sind alle eher "quick and dirty" programmiert und beseitigen die Sicherheitslücken nicht, sondern liefern oft nur einen Workaround. Diese installiere ich grundsätzlich nicht mehr, da man damit mehr kaputt macht.


    Siehe glaube ich letztes Jahr als es ebenfalls eine Samba-Lücke gab: Brav das Qfix installiert, anschließend leider keine Möglichkeit mehr als Domänen-Benutzer auf die Freigaben zuzugreifen. Also NAS aus der Domäne entfernt, wieder eingebunden, dann lief es. Bis zum nächsten Reboot, dann dasselbe Spiel wieder von vorne. Danach habe ich kurzerhand ein Downgrade ohne Qfix vorgenommen.


    Dieses Mal gab es beim Qfix doch auch wieder so einen "Bug": Ein Auflisten der Freigaben im Explorer war damit ebenfalls nicht mehr möglich.


    Wie gesagt, die Qfixes kann man getrost vergessen. Dann warte ich lieber auf den richtigen Patch, weil man sonst "das Kind gleich mit dem Bade ausschüttet".

    Zitat von Ber

    Alles klar, dann sind wir schon zwei, die wohl vergeblich warten.

    Ja, wirklich schade. Speziell für die die Produktion / Geschäft darauf fahren. Gerade bei einem major release wie 4.3, und den damit verkommenden Problemen, würde ich mir einen überlappenden (security) support für die abgehangene 4.2 wünschen. So machen das eigentlich auch die Tier 1 Vendoren. Hier wurde von Qnap 4.3 released und damit war gefühlt Schicht mit der 4.2 (außer bei den bereits abgekündigten Platformen wo 4.2 das finale release ist :-/)


    Ref. offtopic: Wer bzw. was ist synology? o_O

    Nun, bei den bereits abgekündigten Geräten ist 4.2 zwar die letzte Firmware, aber es gibt weiterhin Firmware-Pflege jenseits der 4.2.5.
    Für meine TS-459Pro habe ich z.B. jetzt "4.2.6 build 20170628" installiert.

    Ich verstehe die Aufregung nicht ganz.
    Das Samba-Fix war und ist wichtig für Stadions, die die Samba-Ports nach außen freigeben.
    Wer macht denn so etwas?
    Die Verantwortung für die Sicherheit liegt erstmal beim User.
    Wenn ich nicht weiß was ich tue, kann ich die Verantwortung nicht den Herstellern in die Schuhe schieben.
    Ja ok, Werbeversprechen. Kann mich aber nicht erinnern, dass QNAP mit Samba über das eigene LAN hinaus Werbung gemacht hätte.
    Ihr macht es euch zu leicht. Man muss auch mal versuchen zu verstehen, was man macht oder besser bleiben lassen sollte.


    BtW:
    Mir ist kein einziger Fall im Forum bekannt, der durch die Samba-Lücke schaden genommen hat.

    Alles was hier diskutiert wird ist, dass andere es anscheinend besser machen. Schnelleres Release einer gefixten Firmware und längere Pflege vorheriger Hauptversionen, kein Flash in offiziellen Apps etc.


    In dem Zusammenhang ist der Verweis auf die Eigenverantwortung eine Nebelkerze.

    Ja, leider wird das hier diskutiert - ist aber off-topic (siehe Thread-Thema). Dadurch gehen die themenbezogenen Beiträge ziemlich unter.