Security advisor inconsistent

[SteamDuck]

Beste Forum genoten,

In de DSM geeft de security advisor het volgende totaal overzicht:

" alt="" class="bbc_img" />

Op zich een goed en prachtig resultaat. De security advisor is van mening dat er helemaal niets aan de hand is. Nu ben ik van nature nogal nieuwsgierig aangelegd, dus heb ik ook even naar de rapporten gekeken:

" alt="" class="bbc_img" />

Hier komt toch een ernstig verwonderpunt. Er kwaadaardige programma's en schadelijke opstartscripts aangetroffen en als status is alles in orde?

Ik heb hierover contact gehad met synology technical support.

Dit is het laatste antwoord wat ik van hun gekregen heb:
==>
I'm sorry but the situation regarding Security Advisor seems have passed everything though claiming the security breach, is actually created by our software developers in short of debugging purpose. In the other word, the system never popped up similar message yet aside from this one.
<==

Dit fenomeen is mij opgevallen na de update naar 5.1

Ik maak uit de reactie op dat ik een uniek exemplaar heb. Dat wil ik dan graag eens bij jullie toetsen. Ik neem veiligheids waarschuwingen namelijk serieus, al is het alleen maar om te voorkomen dat ik in heftige restores etc. terecht kom.

Hebben meer mensen deze meldingen gekregen?
Het helpt niet echt dat de security advisor niet aangeeft wat er gevonden is en vooral ook waar het gevonden is.

Alvast bedankt voor jullie reacties

[Birdy]

Dubbel klik eens op:


Dan krijg je meer info.

Overigens, die melding heb ik ook nog niet gezien.
Het kan zijn dat een 3e partij programma gezien wordt als kwaadaardig door Synology, heb ook geen idee hoe ze dit checken.

[SteamDuck]

Hoi,

Bij deze het totaal niets zeggende stukje detail informatie van de security advisor.

" alt="" class="bbc_img" />

Ik heb alleen maar packages van synology draaien en geen extra dingen naar binnen gelepeld. Daar begint namelijk inderdaad een beveiligingsprobleem.
Er draait anksvn als repository server en verder wat standaard dingen.

Groeten

[Birdy]

anksvn

Wat is dat? Kan ik niet vinden. Is dit van Synology ?

Plaatje is overigens niet zichtbaar, maar volgen jou geeft dit geen nuttige info.

[SteamDuck]

Hoi,

SVN server.

Gepubliceerd door synology, gemaakt door apache software.

Nogmaals een poging het plaatje te tonen.

" alt="" class="bbc_img" />

" alt="" class="bbc_img" />

[Birdy]

Ok.....even getest.

1 - Ik had dus niet die melding:

Overigens, die melding heb ik ook nog niet gezien.

.

2 - SVN geïnstalleerd.



3 - Weer laten scannen, en ja, nu krijg ik die melding ook.



4 - SVN heb ik verwijderd:



5 - Weer laten scannen, en de melding blijft. 

6 - Reboot gedaan en weer laten scannen, en de melding blijft 

Misschien moet je dat maar eens terugmelden aan Synology, dat software die zij aanbieden (is dus niet gemaakt door Synology) gezien wordt als potentiële bedreiging, ook al verwijder je deze, dat die bedreiging blijft bestaan.
En misschien dat ze inderdaad direct aan kunnen geven, als er een bedreiging is, om welke software het dan gaat.

[SteamDuck]

Hoi Birdy,

Dank je wel! En overigens ook heel dapper van je om het even uit te proberen. SVN is net zoals GIT een versie beheer pakket ter ondersteuning bij het ontwikkelen van software. Yep, deze jongen programmeert.
Ik ga contact opnemen met Synolgy. Hun antwoord zal ik hier posten.

Ruud

[Birdy]

En overigens ook heel dapper van je om het even uit te proberen.

Gaag gedaaan en daar heb ik m'n TEST DS111 voor.

[Briolet]

SVN is net zoals GIT een versie beheer pakket ter ondersteuning bij het ontwikkelen van software.

Toch mooi dat de Nas beide versioning systemen ondersteunt. Ik heb jaren met SVN gewerkt voor een project en kan nog steeds niet wennen aan de werking van GIT wat ze nu gebruiken bij dat project. 

Ik zag nog meer gekke dingen in je eerste screenshot. b.v. staat er een 'alert' als ernstigheid bij telnet, maar in de omschrijving staat "uitgeschakeld". Dus die alert is ook niet op zijn plaats.

[deregt]

zelf ook even gekeken en zie hier ,ook die melding
ed

[SteamDuck]

Hoi allemaal,

Ik heb de resultaten voorgelegd aan Synology. Afgelopen nacht kreeg ik dit antwoord binen:

==>
After escalation, its generally a "wording mistake" with displayed language in Dutch, and should have been fixed in DSM 5.1-5022 the latest hotfix. The NAS is not suffering a security vulnerability at all and SVN has nothing to do with it.
<==

Nou kan ik me vergissen, maar de test van Birdy geeft toch duidelijk een relatie aan. Ik zal de NAS bijwerken naar 5.1 5022 update 2 en nogmaals controleren.

SVN is een zeer krachtig pakket en integreert goed met visual studio. Ik kan , als serieuse softwareschrijver, niet meer zonder.

Ruud

[SteamDuck]

5.1 - 5022 update 2 maakt geen verschil.

[Hofstede]

Zet de taal van je NAS eens op Engels. Dan kun je zien welke tekst er in het Engels verschijnt. Dan weet je of de uitspraak van Synology klopt.

[Stephan296]

Synology en ondersteuning laat me niet lachen. Ik had ook een soort gelijk probleem. Krijg ik een mail dat ik maar niet met software van derde partijen moet werken en de boel standaard moet laten. Tja je kunt je Nas ook gewoon in de doos laten zitten ;-)

[Hofstede]

Het gaat hier om een door Synology zelf gepubliceerd pakket. Niet om een pakket van derden.

Ik geef hen groot gelijk dat ze geen support voor pakketten van anderen geven. Dat is de verantwoordelijkheid van de maker van het pakket.