Jetzt patchen oder zwangsgepatcht werden – QNAP verteilt ungefragt Updates

    Mod: Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

    Zitat von Heise-Artikel: Jetzt patchen oder zwangsgepatcht werden – QNAP verteilt ungefragt Updates

    "Allem Anschein nach führen die Besitzer der Geräte diese Gegenmaßnahmen und Updates nach QNAPs Ansicht zu zögerlich oder gar nicht durch"

    Ja, warum nur?


    Weiss wer, ob das nur 5.x oder auch die 4.5.4-Reihe betrifft?


    Mod: Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

    Zitat von Heise-Artikel: Jetzt patchen oder zwangsgepatcht werden – QNAP verteilt ungefragt Updates

    Wer in dieser Situation ist, sollte sich also überlegen, ob er das System nicht besser vom Internet trennt oder zumindest in der Firewall die Verbindungen zu den QNAP-Update-Servern blockiert, während das Entschlüsseln läuft.

    Kann hier mal bitte wer die Updateserver hinschreiben?

    Hallo,


    ich nutze ein TS-251A mit 4.5.4.1892.

    Mit dieser Firmware erhält man anscheinend NICHT das Zwangsupdate.

    Zumindest habe ich es noch nicht erhalten.


    Ich finde es einen Skandal, das QNAP gegen den Willen der User ein Update ausrollt, zudem dabei Funktionen verlorengehen!


    Tschau

    Uwe

    Schau dir mal die anderen Threads der letzten Tage an, gibt genug dazu ;)

    Updateserver müsste download.qnap.com sein.

    Zitat von uweklatt

    Ich finde es einen Skandal, das QNAP gegen den Willen der User ein Update ausrollt, zudem dabei Funktionen verlorengehen!

    +1


    Ich bin auf der 4.5.4-1800 und habe gerade gesehen, dass die Version sogar zurueckgezogen wurde. Toll, fuehle mich gleich viel besser. Stand nicht mal bei irgendeiner Version, dass das in der Vorversion Update s sometimes schiefgelaufen sind?


    Habe mal per /etc/hosts "gefirewalled", scheint zu funktionieren, jedenfalls der check update button jetzt tot:


    0.0.0.0 update.qnap.com

    Ich habe nun erst einmal update.qnap.com und download.qnap.com im Internetrouter gesperrt 8o


    Tschau

    Uwe

    Zitat von tiermutter

    Schau dir mal die anderen Threads der letzten Tage an, gibt genug dazu ;)

    Hm, sorry, hat eigentlich gesucht :|

    Koennt gerne den Thread hier loeschen, verwirrt sonst nur.

    Mod: Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

    Zitat von andre-z

    Mich hat es auch erwischt. Am 27.01. von 4.5.4 .1892 auf 5.0.0.1891


    Na, super, sogar gleich auf die 5er.

    Zitat von uweklatt

    Ich finde es einen Skandal, das QNAP gegen den Willen der User ein Update ausrollt, zudem dabei Funktionen verlorengehen!

    Was denn bitte für ein Skandal?! Gegen den Willen der User wird da nix gemacht.

    Man muss sich halt intensiv beschäftigen mit der Technik und dabei natürlich auch mit den Aktualisierungsoptionen. Bei wem das Update lief, war mit hoher sicherheit entweder die automatische Aktualisierung aktiviert oder aber zumindest Updates auf empfohlene Versionen.

    Und wenn QNAP so ein Update aus konkreten Grund als "empfohlen" einstuft, wurde es gemäß den Einstellungen und damit auch gemäß dem Willen der Admins ihrer NAS' installiert.

    Das System tut, was es soll, aus die Maus. Der "Skandal" ist abgesagt.


    Zitat von uweklatt

    Ich habe nun erst einmal update.qnap.com und download.qnap.com im Internetrouter gesperrt 8o

    Ist ok, man kann schließlich auch Gürtel und Hosenträger kombinieren, damit die Hose nicht rutscht. Ordentlich gemacht reicht aber eins von beidem auch aus für den beabsichtigten Zweck. :D ;)

    Mod: Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

    Zitat von Digedag64

    Was denn bitte für ein Skandal?! Gegen den Willen der User wird da nix gemacht.

    Das würde ich nicht unterschreiben.


    Zumindest behaupten diverse Betroffene, dass sie beide Optionen deaktiviert hatten und trotzdem das Update benommen haben.


    Und das IST ein Skandal.


    Tschau

    Uwe

    Zitat von uweklatt

    Zumindest behaupten diverse Betroffene, ...... Und das IST ein Skandal.

    So passt es besser.


    Was du meinst: wenn das stimmen würde, was diese Leute behaupten, dann wäre es ein Skandal. Und dann würde ich dir völlig zustimmen. Bis mein NAS jedoch nicht auch so ein Update erhält, bezweifle ich die Darstellungen erstmal. Auch Andere berichten, dass kein Update erfolgte.

    Es gibt zwei verschiedene Stellen, wo man die Aktualisierung regelt und ich mutmaße, das die "Betroffenen" eine der beiden Stellen nicht im Blick hatten.


    Bei einem der letzten 4.5.4-Updates wurde etwas im Updateverhalten geändert. Sehr wahrscheinlich habe die Betroffenen die Release Notes nicht gelesen, diese Änderung nicht mitbekommen und deswegen das automatische Installieren von empfohlenen Updates - das war neu - nicht deaktiviert. Das scheint mir die beste Erklärung zu sein für die Updates, welche nach Ansicht und durchaus bestem Glauben der Betroffenen "gegen ihren Willen" installiert wurden.

    Zitat von Digedag64

    . Sehr wahrscheinlich habe die Betroffenen

    Natürlich, das kann ja gar nicht anders sein. Außer dir sind ja alle User doof.

    Ich habe seit dem Kauf automatische Updates deaktiviert und trotzdem das Zwangsupdate erhalten. Mein NAS ist weder jetzt, noch war es jemals dem Internet ausgesetzt, einzig der Zugriff über VPN (mit dem Router als VPN-Server) ist möglich.

    Sehr wahrscheinlich hat QNAP sich da irgendeinen Hintereingang eingebaut und genutzt.



    Ich habe zugegebenermaßen auch noch einen Rest Zweifel, ob nicht doch ein Update der Vergangenheit die Auto-Update Funktion aktiviert hat.

    Wenn Du wirklich sicher bist, beide Optionen deaktiviert zu haben (in früheren QTS gab es nur eine Option) dann sieht der Trigger wahrscheinlich so aus, das das NAS über den Updatecheck ein Flag erhält und die Optionen übersteuert.

    Denn in das Internet kann das NAS dich sicherlich?


    Die Vorgehensweise ist für mich in dem Fall aber auch jeinesfalls akzeptabel.


    Gruss

    Hallo mad99 ,


    ich wollte dich nicht angreifen und seit wann darf man hier keine eigene Meinung äußern?

    Zitat von mad99

    Außer dir sind ja alle User doof.

    Nö. Und bin ich dich so angegangen, weil du etwas Anderes schreibst als ich? Also komm mal wieder runter Richtung Sachlichkeit.


    Tatsächlich könnte auch eine App für das Update verantwortlich sein, der Security Councelor scheint mir ein Kandidat dafür zu sein. Den hab ich irgendwann runtergeworfen ... und mein NAS hat kein Update auf 5.0.0. bekommen trotz Zugriff ins Internet.

    Dieses rumraten geht mir irgendwie auf den Geist... Wenn ich heute Abend meinen Treppenaufgang verspachtelt habe und dann noch Muße habe setze ich mal ein System mit einer 4.5.4 auf und teste mal was nach Updates passiert.

    Vielleicht ist QNAP aber auch so kackfreundlich und erklärt den Usern bis dahin was mit deren Systemen gemacht wird...

    Aber vielleicht könntest Du zwei davon schliessen und auf den dritten verweisen?

    Sonst postet jeder was in dem Thread, den er zuerst findet, dann werden die anderen gefunden, Chaos ist jetzt schon da :S.


    Nur so als Idee...


    Gruss

    Zitat von mad99

    Sehr wahrscheinlich hat QNAP sich da irgendeinen Hintereingang eingebaut und genutzt.

    Ich habe da eher den Malware Remover im Verdacht. Damit ließe sich ein Zwangsupdate leicht realisieren. Der Malware Remover bräuchte nur die Datei mit der Einstellung "Kein Update" zu löschen (oder zu ändern) , und da automatisches Update default ist, bekommst du es bei der nächsten Überprüfung installiert.


    Und ja, der Malware Remover ist prinzipiell als Hintertür missbrauchbar. Ich nehme an, dass dieser auch Skripte ausführen kann, die Qnap vorgibt. Da ist halt die Frage, wie weit man Qnap traut (Böswilligkeit wurde Qnap noch nicht unterstellt) und ob nicht der Malware Remover doch das kleinere Übel ist.

    Zitat von FSC830

    Ich habe zugegebenermaßen auch noch einen Rest Zweifel, ob nicht doch ein Update der Vergangenheit die Auto-Update Funktion aktiviert hat.

    Hat es wirklich. Ich musste es wieder deaktivieren. Was ich mir allerdings nicht sicher bin, ob ich dies sogar mehrfach musste. Auch nicht sicher bin ich, bei welchem Updates es war. Die wenigsten werden wohl alle Einstellungen überprüfen, nach jedem Update. Ich mache es, zumindest bei den wichtigen Einstellungen. Und Auto-Update ist eine wichtige Einstellung die es zu überprüfen gilt. Hier den Haken immer wieder rein machen viele Hersteller, was zwar irgendwo verständlich, aber trotzdem nervig ist.

    Zitat von Anthracite

    Ich habe da eher den Malware Remover im Verdacht. Damit ließe sich ein Zwangsupdate leicht realisieren. Der Malware Remover bräuchte nur die Datei mit der Einstellung "Kein Update" zu löschen (oder zu ändern) , und da automatisches Update default ist, bekommst du es bei der nächsten Überprüfung installiert.

    Habe nun eigens nachgesehen: Den Malware Remover habe ich auf dem NAS drauf und er geht auch täglich online, um sich zu aktualisieren, und überprüft das System sofort nach dem Update der Virendefinitionen. Trotzdem kein Update bisher.

    Aber der nächste wöchentliche Scan läuft erst am Montag ....


    Ich hatte bisher vom Security Councellor gelesen im Kontext mit diesen automatischen Updates und da ich den längst runtergeworfen habe, schien er mir die nächstbeste Option zu sein nach den bewussten Häkchen für die automatische Aktualisierung und den empfohlenen Updates. Letztere sind noch immer meine Favoriten ...