QNAP fixt zes rsync-kwetsbaarheden in back-upsoftware van nasapparaten

QNAP heeft een update uitgebracht die zes verschillende kwetsbaarheden in zijn nasapparaten moet verhelpen. De bugs zijn allemaal gerelateerd aan rsync en hebben betrekking op de Hybrid Backup Sync 3-software. Gebruikers kunnen hiermee gegevens back-uppen, herstellen of synchroniseren.

De opslagfabrikant schrijft in een beveiligingsadvies dat HBS 3 25.1.x kwetsbaar is voor zes verschillende kwetsbaarheden: CVE-2024-12084, CVE-2024-12085, CVE-2024-12086, CVE-2024-12087, CVE-2024-12088 en CVE-2024-12747. QNAP beschrijft de bugs als 'belangrijk' en 'verholpen'. Gebruikers moeten daarvoor wel hun nasapparaat updaten naar HBS 3 25.1.4.952 of nieuwer.

Volgens Bleeping Computer kunnen malafide partijen deze beveiligingsgaten in rsync combineren om op afstand toegang te krijgen tot een systeem. Aanvallers zouden alleen anonieme leestoegang nodig hebben om binnen te kunnen dringen op een kwetsbaar apparaat.

Reacties (33)

Llopigat 24 januari 2025 20:22

Heeft rsync zoveel kwetsbaarheden dan?

Gelukkig gebruik ik het eigenlijk alleen op mijn lokale netwerk en dan ook nog eens over SSH.

BizzieBis @Llopigat • 24 januari 2025 21:26

Ik heb toevallig laatst deze video bekeken: YouTube: the new rsync exploit is sort of hilarious.

Daarin zie je dat het een opeenstapeling van kwetsbaarheden is dat kan leiden tot een remote exploit van het systeem.
Ik verwacht dat andere fabrikanten van NAS systemen snel zullen volgen met een oplossing.

[Reactie gewijzigd door BizzieBis op 24 januari 2025 21:27]

the_stickie @Llopigat • 25 januari 2025 08:14

Nee, maar er zijn er recent wel een paar stevige gevonden. https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=rsync
Maw fabrikanten en beheerders moeten ff aan de slag!

Frame164 @Llopigat • 24 januari 2025 20:36

Of het wordt beter gecheckt dan applicaties met minder (gevonden) vulnerabilities.

Llopigat @Frame164 • 24 januari 2025 20:43

Ja ik ben alleen vrij verbaasd.

Ik bedoel, de codebase van rsync is nou niet bepaald enorm

Wat zal het zijn, een paar honderd kilobytes?

Maargoed het is wel C en behoorlijk antiek natuurlijk.

Ik denk dat het een gevorderde Rust programmeur niet meer dan een week zou kosten om het te porten. Zou toch wel moeten kunnen met de sponsoring van iets als Qnap. En een hoop problemen voorkomen (niet alle kwetsbaarheden natuurlijk maar onbedoelde buffer overflows wel).

[Reactie gewijzigd door Llopigat op 24 januari 2025 20:44]

kdekker @Llopigat • 24 januari 2025 21:10

Wat gebruikt Rust dan aan de onderkant? Libc of iets uit het OS, wat nog steeds overflows kan hebben. Als de Rust interface naar C ook bugs heeft, dan lost het volgens mij minder op dan je zou willen (met dat verschil dat nieuwe code ook nieuwe bugs bevatten zal).

Llopigat @kdekker • 24 januari 2025 21:56

Nee Rust compileert gewoon naar native code, gebruikt geen libc hoor.

De system calls van Linux zijn wel C natuurlijk. Daar doe je niks aan. Maar die zijn niet de verantwoordelijkheid van applicatiesoftware.

Rust is geen definitieve oplossing voor overflows maar het voorkomt wel een hoop omdat een heleboel van de manieren waarop je jezelf in de voeten kan schieten gewoon voorkomen worden.

[Reactie gewijzigd door Llopigat op 24 januari 2025 21:56]

kdekker @Llopigat • 24 januari 2025 22:04

Of je eerste zin klopt (ik denk van niet) of de tweede klopt, maar dan gebruik je gewoon libc. Doe maar eens ldd uitvoeren op je door rust gebouwde binary. Als daar libc tussen staat, heb je een antwoord.

Ik heb geen Linux systeem tot mijn beschikking, dus ik kan het niet controleren. Maar technisch weet ik genoeg om het onwaarschijnlijk te achten dat rust de hele I/O zelf schrijft. Ook de kernel is gewoon in C geschreven. Rust is gewoon afhankelijk van de low level interfaces.

Nuance: ik heb zelf nooit met rust gewerkt, wel met perl/python etc. Dan zijn allemaal interpretatie taken die onder de motorkap, in hun executing engine zeg maar, allemaal libc gebruiken. Of libc++, maar ook die bibliotheek hangt weer op libc.

Aanvulling: er lijken OSs te zijn die een Rust kernel hebben: https://www.reddit.com/r/...ust_and_drop_c/?rdt=39141. Geen idee of dat ook echt in de praktijk draait.

[Reactie gewijzigd door kdekker op 24 januari 2025 22:07]

OverSoft @kdekker • 24 januari 2025 23:07

Rust zit tegenwoordig zelfs in de Linux Kernel, wat het slechts een van de 3 talen maakt (Assembly, C en nu dus ook Rust) waaruit de kernel bestaat.
Rust kan bare metal code genereren die zonder libraries werkt (zelfs geen libc).

Ja, het wordt ook daadwerkelijk in de praktijk gebruikt, sterker nog, iedere kernel sinds 6.4 bevat Rust code.

wooha @kdekker • 26 januari 2025 16:45

De kwetsbaarheden zaten net als de meeste kwetsbaarheden puur in de applicatiecode, niet in de onderliggende libc of kernel of in de (directe) koppeling daarmee. Als applicatie ontwikkelaar ben je verantwoordelijk voor (in dit geval de veiligheid van) jouw eigen code, deels voor de keuze van libraries en niet voor de code van libc of de kernel. Qua kernel ligt de keuze sowieso bij de gebruiker.

Twee van de problemen hadden niet voor kunnen komen in Rust code, tenzij er expliciet beschermingen waren uitgeschakeld, wat voornamelijk noodzakelijk is in bepaalde veelgebruikte low-level libraries. Ook die laatste zijn niet de verantwoordelijkheid van de applicatie ontwikkelaar. De taal C helpt de ontwikkelaar niet bij de veiligheid van eigen code, compilers maar beperkt en tooling al een stuk beter, maar het geheel gaat niet zo ver als de obsessieve Rust compiler, zoals mogelijk gemaakt door de taaldefinitie.

Overigens hadden diezelfde twee problemen ook in de meeste andere talen niet voor kunnen komen, maar die hebben niet de CPU efficiëntie en voorspelbaarheid van C, C++ en Rust die voor sommige applicaties van belang is.

Herschrijven in een andere taal zal weer tot nieuwe bugs leiden, maar vermindert wel fouten in een bepaalde categorie.

[Reactie gewijzigd door wooha op 26 januari 2025 16:47]

beerse

QNAP

@Llopigat • 25 januari 2025 16:33

rsync heeft een lange historie maar wordt nog best actief ontwikkeld: download: rsync 3.4.1

Aan de andere kant: rsync is voor het synchroniseren, niet voor de beveiliging. Daar zorgt je tunnel/vpn software voor als dat nodig is. Net als veel andere unix/linux tools doet rsync alleen wat het moet doen, Voor andere taken is andere software. Vaak wordt rsync gebruikt in samenwerking met ssh, ook zo'n stukje software dat doet wat het belooft te doen, niet meer en niet minder: Besef dat ssh zorgt voor de tunnel, niet voor de versleuteling, daar gebruikt ze weer andere libraries voor. En daar is de kracht: De versleuteling kan verbeteren terwijl de tunnel gelijk blijft en ook de sync kan blijven werken.

En over het gebruik van de ene of andere programmeer taal: De geschiedenis heeft bewezen dat het niet uit maakt welke taal je gebruikt. Als er niet netjes wordt geprogrammeerd, dan kan je altijd rotzooi krijgen. De charme van de taal C is de eenvoud en het gebrek aan functionaliteit. Het zijn de gebruikte libraries, modules en dergelijke die naast de programmeer kunsten de kwaliteit van het resultaat bepalen.

In de vorige eeuw waren er disputen over programmeer talen die beter zouden zijn dan andere. Uiteindelijk is er voor veel talen een converise programma gemaakt om er c van te maken. De taal C++ is zelfs op die manier begonnen. Het resultaat was dat van veel 3g en 4g talen (procedureel/functioneel en object-oriënted) het equivalent in de taal C gezien kon worden. Echt beter werd het niet, wel meer code en meer controles. Zaken die door opvolgende optimalisatie slagen bij het compileren en linken weer werden aangepast...

[Reactie gewijzigd door beerse op 25 januari 2025 16:42]

wooha @beerse • 26 januari 2025 17:54

Aan de andere kant: rsync is voor het synchroniseren, niet voor de beveiliging. Daar zorgt je tunnel/vpn software voor als dat nodig is. Net als veel andere unix/linux tools doet rsync alleen wat het moet doen.

Een VPN of ander gebruik van toegangscontrole is een heel ander soort beveiliging dan ervoor zorgen dat code alleen doet wat het moet doen. Het stelt je alleen in staat om de tools zoveel mogelijk af te schermen.

In dit geval deed rsync dus niet alleen wat het moest doen en kon een client dat veroorzaken. Het is me nog niet duidelijk wat uiteindelijk haalbaar is op basis van deze kwetsbaarheden, maar je wil er bijvoorbeeld van uit kunnen gaan dat als je via rsync toegang geeft tot een systeem, dat kwaadwillenden geen willekeurige code uit kunnen voeren op dat systeem. Met uitvoerbare code zou het de zwakste schakel kunnen worden in je beveiliging met een impact die verder gaat dan de beschreven functionaliteit van rsync, afhankelijk van de omgeving waarin rsync wordt uitgevoerd en de verdere toegang die rsync vanuit die omgeving heeft.

Toevoeging: "When combined, the first two vulnerabilities (heap buffer overflow and information leak) allow a client to execute arbitrary code on a device that has an Rsync server running." ( https://kb.cert.org/vuls/id/952657 ).

En over het gebruik van de ene of andere programmeer taal: De geschiedenis heeft bewezen dat het niet uit maakt welke taal je gebruikt. Als er niet netjes wordt geprogrammeerd, dan kan je altijd rotzooi krijgen.

Definieer rotzooi. Memory managed talen sluiten in de regel buffer overflow en double free kwetsbaarheden uit in de managed delen van de applicatiecode. Dat is een groot deel van de kwetsbaarheden met volgens mij de grootst mogelijke impact, namelijk op afstand uitvoerbare code.

In de vorige eeuw waren er disputen over programmeer talen die beter zouden zijn dan andere. Uiteindelijk is er voor veel talen een converise programma gemaakt om er c van te maken.

Dat allerlei talen Turing compleet zijn zegt niets over het beter toepasbaar zijn van talen voor bepaalde taken. Dan hadden we net zo goed nog in assembly kunnen ontwikkelen of een hedendaagse managed equivalent daarvan als je platformonafhankelijkheid wil.

[Reactie gewijzigd door wooha op 26 januari 2025 18:09]

Pfeezer 24 januari 2025 19:48

Net mijn oude QNAP vervangen aangezien die enkel als offline opslag werd gebruikt sinds de ransomeware attacks van enkele jaren geleden. Hierdoor heb ik de laatste maand twee NAS installaties gedaan. Telkens een basic opstelling voor enkel wat backups en een beetje netwerkopslag waar je ook buitenshuis aan kan.

Één keer voor een QNAP gekozen omdat de hardware specs bij de low end modellen wel wat beter zijn tov synology maar wat een gedoe. De DSM software van Synology maakt alles zo smooth en easy om op te zetten dat ik een QNAP al niet meer zou overwegen voor de volgende keer. Die meerprijs voor hun oudere hardware neem ik er jammer genoeg maar wat bij.

Online kwam ik de vergelijking ‘Synology is the Apple of NAS storage’ vaak tegen en die kan ik enkel maar beamen. Je betaald wat meer maar op software vlak is alles zo mooi en duidelijk uitgewerkt dat ‘it just works’. Zelfs met wat technisch kennis loop je al snel verloren in al de menu’s en dropdowns van QNAP.

Corrigan @Pfeezer • 24 januari 2025 22:23

Hier de omgekeerde ervaring. QNAP is moderner en beter met security dan Synology. Voor mij geen Synology meer want deze bewaarde standaard de encryptie wachtwoorden op de NAS, wat je niet kunt uitzetten.

Als je Synology kent dan is QNAP even wennen. Omgekeerd ook hetzelfde.

OverSoft @Corrigan • 24 januari 2025 23:02

Hetzelfde voor mij. Een QNAP is ook veel flexibeler qua instellingen en mogelijkheden IMHO.

faim @Pfeezer • 24 januari 2025 21:24

Waarom zou je je NAS überhaupt direct aan het internet hangen en niet achter een VPN?

JasperE

@Pfeezer • 25 januari 2025 09:08

Je kunt er nog Ubuntu op installeren (bare metal). /boot partitie op de flashdisk als de bios niet kan booten vanaf de hdd's. Dat verschilde in mijn geval per Qnap model.

Wel evt even met dd backup maken van die flashdisk en wegschrijven op een usb stick als je de qnap software mogelijk nog wil draaien in de toekomst.

[Reactie gewijzigd door JasperE op 25 januari 2025 09:10]

dimdek @Pfeezer • 25 januari 2025 22:25

Mooie vergelijking, maar helaas heft Synology ook de vervelende Apple eigenschap overgenomen om telkens nuttige functionaliteit uit hun systemen te verwijderen: Video Station verdwenen, Photo Station om zeep geholpen, Cloud Station vervangen door Drive waar geen synchronisatie met smartphones in zat (en nu heel knullig is deherintroduceert na een regen van klachten), USB functionaliteit verwijderd, telemetrie en constant promoten dat je er nog een cloud abonnement bij moet nemen. Ik was altijd een groot fan van Synology, maar mijn enthousiasme is de afgelopen jaren wel enorm afgenomen, net als dat bij Apple het geval is.

Stapper55 @dimdek • 27 januari 2025 09:35

photostation is nu synology photo, dus niet om zeep en volop in ontwikkeling.
Usb functies zijn niet verwijderd, maar beter beveiligd. (werd tijd ook, met al die shit die ze daaraan hingen. Die ontwikkelaars zijn tijdig op de hoogte gesteld, dus dat ligt bij hun zelf)
Videostation, codec gedonder en licentie ellende, maar goed voor wat het was, was het wel aardig. Persoonlijk vind ik dat ook niet een goede zet.

Qua software (DSM) blijft het gewoon geweldig, daar kan geen concurrent aan tippen.

dimdek @Stapper55 • 28 januari 2025 08:50

Photostation is Photos geworden en daar hebben ze de een belangrijke functionaliteit, filteren op waardering, uitgehaald. Daarnaast hebben ze het in Apple stijl helemaal Peppie en Kokkie gemaakt. Voorheen adverteerde Synology dat hun nas goed geschikt was voor fotografen, maar nu is het delen van fotosets waardeloos geworden. Daarnaast proberen ze fotocollecties per gebruiker in te laten stellen. Heel leuk voor gezinnen die hun kiekjes niet met elkaar wlllen delen. Inmiddels is wel een deel van de functionaliteit terug, maar het blijft een achteruitgang.
Wanneer je je nas hebt gekocht om er usb apparaten op aan te sluiten, dan is het natuurlijk waardeloos dat Synology besluit dat die functie er plots uit wordt gehaald (a la Apple) omdat ze hun systeem ook niet op orde hebben. Het is aan de gebruikers om te kiezen welke apparaten daaraan gehangen worden. Verder zou Synology natuurlijk ook kunnen kiezen om via de settings de usb functie aan/uit te laten zetten zodat beheerders controle houden.
Het is natuurlijk achtelijk dat je betaalt voor een apparaat waar ondersteuning voor video op wordt aangeboden en waar dat zomaar weer wordt ingetrokken. Dat het hangt op een codec is natuurlijk ook onacceptabel. Vervolgens worden alternatieven aangeboden die niet dezelfde functionaliteit bieden, veel meer installatiekennis vragen en een account bij een andere partij vereisen.
Voor dat hele Drive is natuurlijk ook niets goeds te zeggen en hun antwoord is dat je maar moet gaan synchroniseren met Resilio (ook weer een externe partij terwijl je een nas hebt gekocht die een specifieke functie direct zou moeten ondersteunen.
Inderdaad blijft DSM het meest intuitieve en overzichtelijke OS onder de nas systemen, maar mijn vertrouwen in Synology is de laatste jaren wel afgenomen.

Stapper55 @dimdek • 28 januari 2025 15:15

Wat videostation betreft, deel ik je mening wel, alhoewel ik het niet gebruik. Ze lieten dat idd vallen vanwege de kosten voor een codec. h.265 geloof ik.
Die usb aansluiting, was een probleem, dat hebben ze aangepakt om het platform veilig te houden. Root folder rechten aangepast meen ik. Ontwikkelaars zijn daar wel van op de hoogte gesteld, dus als die geen stappen namen werden ze buiten gesloten. Op zich is dat wel een prima ontwikkeling.
Bij drive snap ik niet echt wat je nou bedoeld, ik gebruik het bijna dagelijks, zowel op pc als mobiel en in mijn optiek werkt het perfect.
Synology photo, kreeg er gezichtsherkenning en object herkenning bij ( is nu meer in de stijl van google foto), is nog steeds in ontwikkeling. Er zijn idd een paar opties weg, en andere kwamen erbij, dus je hebt voor en tegenstanders, zelf vind ik hem prima, al zijn er wat functies die ik graag zou willen terugzien, zoals het kaartje met de locaties.

Mijn vertrouwen is niet afgenomen, maar videostation dumpen om een codec licentie vind ik wel absurd.

dimdek @Stapper55 • 28 januari 2025 21:57

Als je naar het systeem kijkt als ontwikkelaar kan ik begrijpen dat je de beslissing rondom usb verstandig vindt, maar wanneer je als gebruiker moet ontdekken dat het apparaat dat je hebt aangeschaft een deel van zijn functionaliteit kwijt raakt is dat in mijn ogen niet acceptabel (je zou het waarschijnlijk ook niet accepteren als na een update de kofferbak van je auto niet meer open kan uit veiligheidsoverwegingen).
Met Cloud Station had Synology een prachtig werkende synchronisatiefunctie voor alle platformen (MacOS, Windows, Linux, Android en IOS). Toen hebben ze de Drive geïntroduceerd om mensen gezamenlijk aan bestanden te laten werken. Dat is iets anders dan alleen synchroniseren en niet voor iedereen van nut. Ik dacht het als vervanger voor Nextcloud te gaan gebruiken, maar ontdekte dat de agenda's onbetrouwbaar waren en niet alle contacten werden gesynct, dus wat dat betreft een slechte introductie omdat ik niet blijf proberen totdat het een keer goed gaat werken. Erger nog is dat bij de IOS en Android apps de hele synchronisatie uit de apps werd gehaald, zodat je alleen nog on-line bij je bestanden kon komen (en dat is bijvoorbeeld niet handig als je op reis bent of je toestel op vliegtuigstand wilt hebben staan). Na heel veel kritiek is de functionaliteit uiteindelijk weer teruggebracht op een enorm onhandige plek in de app, maar dat heeft ruim 3/4 jaar geduurd.
Dat Synology Photos meer op Google is gaan lijken is in mijn optiek geen positief punt. Gebruikers die van Google houden moeten dat vooral gebruiken, maar degenen die dat niet willen en in de loop der jaren een workflow met Photo Station hebben opgebouwd worden nu in de kou gezet en opgescheept met gadget functies. Voor mij is het in ieder geval onwerkbaar geworden omdat ik niet kan filteren op de foto's die ik in Lightroom of Digikam een waardering heb gegeven. Zo kan ik klanten niet meer een selectie tonen zonder eerst weer bestanden naar mapjes te gaan kopiëren. Nu geloof ik dat de functionaliteit na veel klachten is 'teruggebracht' op het moment dat Video Station de nek om werd gedraaid, zodat dat het volgende struikelblok is geworden. Daarnaast is het natuurlijk ook om te huilen dat elke fotoprogramma een donkere modus heeft, maar Photos alleen een witte achtergrond biedt. En inderdaad is het raar als de weergave van gps lokaties uit de app zijn gehaald. Dat Surveillance station al jaren gebruik maakt van Google servers en meldingen blijft geven als je geen toegang geeft tot Google diensten vind ik overigens ook onacceptabel. Bij mij heeft het er in ieder geval toe geleid dat ik nog steeds op DMS6 zit en niet over kan naar een nieuwe versie zonder dat ik functies verlies die de reden waren om de nas aan te schaffen. Wanneer Synology van mening is dat ik dan 3rd party software moet gaan gebruiken, dan kan ik beter zelf een server gaan inrichten.
Ik snap niet dat er niet eerst aan een goed werkende app wordt gesleuteld die naast de oude software, waarvoor mensen hun systeem hebben aangeschaft, kan draaien. Ik weet dat het de trend is bij Apple Microsoft en dat is precies de reden dat ik tegenwoordig bijna alles onder Linux doe.

Stapper55 @dimdek • 30 januari 2025 08:46

ik zit veel op het nederlandse Syno forum. Wat die usb betreft, dat werd echt een probleem. Als je zag wat daar allemaal voor third party shit op werd aangesloten. En die ontwikkelaars hadden hun zaken gewoon waardeloos voor elkaar, wat veiligheidsproblemen opleverde.
Overigens zijn die ontwikkelaars wel een jaar van te voren op de hoogte gesteld, voordat die beveiligingen plaats vonden, om tijdig te kunnen aanpassen. Dat men dit niet deed, is de schuld van die ontwikkelaars, niet van syno. Dus dat juich ik toe.

Voor mij werkt drive uitstekend, en doet zowel op pc en mobiel exact wat die moet doen. Maar geen enkele use case is hetzelfde, en ik draai 7.2 geen idee, uit mijn hoofd wat het verschil met DSM 6 ook alweer is, mogelijk dat ze die functionaliteit die jij zoekt wel hebben toegevoegd, er zijn nogal wat updates geweest.

Synology photo heeft al vrij lang een donkere modus.
Probleem was een beetje dat ze op een bepaald moment 2 foto prog's hadden, photostation en moments. Dat is samengevoegd, en er is meer ingezet op Ai met object en gezichtsherkenning.
Het verwijderen van gps locaties is voor mij een gemis, ik reis veel, maar schijnt ook weer terug te komen.
Als je nog op dsm6 zit, kan het best zijn dat de functies die je zoekt er in 7,2 allang weer zijn, maar daar kan ik geen antw op geven.

Het slopen van videostation vind ik onacceptabel.
Veel mensen kopen zo'n nas als multimedia doos, en dat zo'n ding dat dan overlaat aan third party ontwikkelaars, waar meer knowhow voor nodig is, is absurd.
Ze wilden van de kosten voor H.265 af, maar DTS, en 4K kon het ding ook al niet aan ( En nog een audio codec, weet ik zo even niet uit mijn hoofd, dus het was al niet echt een geweldig ding.
Het heeft me wel verbaasd, en velen met mij.
Ik vind veranderingen prima, maar niet als je beroofd word van functionaliteit die je wel had op de dag van aanschaf, dus dat ben ik absoluut met je eens.

OverSoft 24 januari 2025 19:27

Belangrijk om te vermelden is dat er (om vulnerable te zijn geweest) een open rsync server moet aan staan en anonieme toegang ingeschakeld moet zijn.

Dat is vrij zeldzaam en zullen de meeste mensen niet aan hebben staan.

[Reactie gewijzigd door OverSoft op 24 januari 2025 19:28]

ANdrode

@OverSoft • 24 januari 2025 19:52

De rsync vulnerabilities zijn vrij raar. Je moet:

Een publieke server draaien met relatief nieuwe versie (3.2.7 tor 3.4.0)

Of: met een versie voor/eerder dan 3.4.0 vanaf een kwaadaardige server data kopiëren. De tweede kwetsbaarheid vind ik in de praktijk gevaarlijker.

MrMonkE @OverSoft • 24 januari 2025 19:50

Het klinkt als iets dat iemand alleen per ongeluk doet.

MPAnnihilator 24 januari 2025 19:27

Net gechecked, die van mij meldt voorlopig niets. ( QTS 5.2.3.3006 )

OverSoft @MPAnnihilator • 24 januari 2025 19:28

Is een app update, geen firmware update.

valhalla77 24 januari 2025 21:26

QNAP heeft geen best track record mbt vulnerabilities. Zeker als je dat vergelijkt met Synology. Hardware technisch zijn QNAPS niet geheel onaardig, maar doordat hun track record niet zo heel erg goed is, raad ik mensen toch 9/10x een synology aan.

Niet dat Synology bulletproof is, maar ik denk dat zij security technisch de boel beter op orde hebben.

kaaas @valhalla77 • 24 januari 2025 21:59

Het was een algemene rsync exploitatie. Niets waar qnap aan ontwikkeld.

valhalla77 @kaaas • 25 januari 2025 00:14

I know, dit was ook niet specifiek bedoeld voor dit geval. Maar als je gaat kijken in het algemeen naar QNAP en security issues, zijn dat er best veel de laatste jaren. Ok, gegeven, zet NOOIT je NAS direct aan het internet, en wil je remote altijd VPN gebruiken, Maar er zijn genoeg mensen die dit toch doen.Dan zie je toch dat QNAP vaker in het nieuws hiermee komt. Bekijk dit lijstje maar eens van de laatste jaren (https://www.cve.org/CVERecord/SearchResults?query=qnap). En vooral het gaat hem om de criticals.
Zoals gezegd, Synology is ook niet bullet proof.

beerse

QNAP

@valhalla77 • 25 januari 2025 16:46

Het is maar net waar je het mee vergelijkt. In de nas wereld staan synology en qnap ergens aan de top. Vandaag is het qnap en morgen is het synology. Naar mijn ervaring heeft qnap een heel goed track-record. Mijn qnap419 is al aardig op leeftijd maar heeft vorig jaar nog wel een update gekregen.

jdiv 24 januari 2025 23:29

QNAP was wel zeer traag om actie te ondernemen.
Op 14 januari was het probleem gekend: https://kb.cert.org/vuls/id/952657
En op 15 januari was er al de rsync 3.4.0 security release.

Op dit item kan niet meer gereageerd worden.

QNAP fixt zes rsync-kwetsbaarheden in back-upsoftware van nasapparaten

Lees meer

Reacties (33)

Sorteer op:

Weergave: