Vreemd resultaat met Antivirus Essential

[Birdy]

Moet lukken
Wel inloggen als gebruiker root met password van admin anders gaat het niet lukken.

[jbbrans]

In principe is het gelukt. 

[Birdy]

Mooi zo, ook getest?

[jbbrans]

Ik heb een zip bestand kunnen uitpakken in dsm.

[Briolet]

Ik heb geen idee of het een false positive is. Het is een melding over een kwetsbaarheid die in deze file aangetroffen is en niet van een virus zelf. Als ik naar de officiële beschrijving kijk, dan betreft het juist een kwetsbaarheid in bepaalde versies van de bibliotheken die door zip-softwae gebruikt wordt.

Overview CVE_2015_2331-3
Integer overflow in the _zip_cdir_new function in zip_dirent.c in libzip 0.11.2 and earlier, as used in the ZIP extension in PHP before 5.4.39, 5.5.x before 5.5.23, and 5.6.x before 5.6.7 and other products, allows remote attackers to cause a denial of service (application crash) or possibly execute arbitrary code via a ZIP archive that contains many entries, leading to a heap-based buffer overflow.

Het is dus zeer goed mogelijk dat Synology nog met oude Zip software werkt en deze ge-update moet worden. Als je geen software draait die zelfstandig kan zippen, lijkt het me niet dat je risico loopt.

[Robert Koopman]

Antwoord van Synology:

Thank you for the inquiry.
The /usr/syno/bin is quarantined by Antivirus Essential and caused a warning in Security Advisor ("file is modified"), but this is a false alarm.
We will report the false-positive file to ClamAV (the antivirus engine), and the future virus definitions will not report such infection. For the time being, you may restore the /usr/syno/bin from the quarantine area in Antivirus Essential and put it into white list.

Terugzetten en op de white list zetten dus.

[Briolet]

Mooi om dit via officiële kanalen te horen.

Als je op deze melding zoekt, vind je ook dat ClamAV dit sinds deze week op de mac vind. De mac is unix gebaseerd, net als de nas en gebruikt waarschijnlijk dezelfde zip engine.

[Stephan296]

Ook op putty.exe slaat hij aan. (Had hem in mijn software backup directory staan)

[Pippin]

Zou putty toch even controleren omdat er recent noch een geïnfecteerde versie in omloop is gekomen.

[Stephan296]

Dit was de versie die ik vorige week van een hun site heb gehaald.
Dus dat is het vreemde eraan, omdat ik wist dat er inderdaad een geïnfecteerde versie was.

[Pippin]

Synology heeft de zip file online gezet:
ftp://on-line:online_user@ftp.synology.com/on-line/DSM5.2/ZIP/

[Erwin1]

Ik heb het afgelopen weekend een volledige scan gedaan van het systeem, maar er werd geen melding gedaan van het pakket wat Robbert aangaf. Toch vreemd dat hij bij mij niet aanslaat.
Ik ben nu nog een systeemscan aan het doen, kijken of dat misschien de melding oplevert.

[Birdy]

Die zip is daar met de bedoeling om deze in /usr/syno/bin/ te zetten ?

[Pippin]

Ja, voor het geval die verwijderd is.

[Der_Snoober]

Hallo,

zojuist maar even geregistreerd om te kunnen posten.

Ik ben er ook zo een die de file uit de quarantaine verwijderd heeft :-|

Heb de zipfile gedownload van de FTP van Synology (Armadaxp heb ik genomen omdat ik een DS214 heb) en deze teruggeplaatst. Helaas werkt het zippen nog niet en blijft mijn NAS de melding geven dat systeembestanden gewijzigd zijn.

Wat kan ik nu doen? Zit echt niet te wachten op een complete reset...

Oh ja, ik draai de laatste software 5.2 update 3 heet ie dacht ik.