Search

Rainer-Maria Fritsch 12.06.2017 - 18:52

SOUL auch von SAMBA-SIcherheitslücke betroffen?

Bei Heise (https://www.heise.de/security/meldung/Jetzt-patchen-Gefaehrliche-Luecke-in-Samba-3725672.html) erschien am 25.Mai 2017 eine Meldung über eine gefährliche Sicherheitslücke in SAMBA. Betrifft das auch die Software-Installation in den protonet-Boxen? Falls ja, wie kann diese Sicherheitslücke schnell behoben werden?

Vielen herzlichen Dank!

Herzliche Grüße
Rainer

 

Last modified: 12.06.2017 - 18:53

15 answers

Fab 03.07.2017 - 15:46

@protonet: Das kann doch wohl nicht > 3 Wochen dauern, diese einfache Frage zu beantworten, oder?!? Micha, ich vermisse Dich!!!

Daniel 06.07.2017 - 18:07

Hi Rainer, Hi Fab,
entschuldige bitte die Unannehmlichkeiten. Wie du weißt wir mussten uns an viele Änderungen anpassen. Jetzt geht es bei uns weiter.

Diese Sicherheitslücke ist uns bekannt. Wir haben Feedback aus der Entwicklung erhalten, dass das Problem identifiziert und gefixt wurde. Damit sollte es Teil des nächsten SOUL Stable/xxx Updates in den nächsten paar Tagen sein, solange keine unvorhergesehenen Ereignisse eintreten. SOUL 3/xxx ist nicht davon betroffen.
Herzliche Grüße,
Daniel

Fab 07.07.2017 - 13:01

Hallo Daniel, wird das Update dann auch den Usern zur Verfügung gestellt, die unlängst zwar eine Maya mit Lifetime-Updates und -Support gekauft haben, diese nach der Insolvenz jedoch nicht mehr einfordern können und auch das monatliche Geld für einen – ja damals bereits beim Kauf inkludierten, nun aber obsoleten – Servicevertrag nicht aufbringen können oder wollen? Oder anders gefragt: Falls Nichtzahlern wichtige Sicherheitsupdates verweigert werden sollten, kann dann auf der Konsole per SSH das UBUNTU bzw. Samba selbst upgedatet werden?Danke für Deine Rückmeldung!

m4gr01ino 14.07.2017 - 8:32

Laut Telefonat gerade mit dem Telefon Support wird dieses Sicherheits-Update nur Nutzern mit neuem Supportvertag und Soul+ (bezahl)Usern zur Verfügung bestellt, was ich ziemlich uncool finde.

Eine Stellungnahme (oder Anleitung, wie mans selber auf der Konsole fixen kann) seitens Protonet wäre sehr wünschenswert.

Rainer-Maria Fritsch 14.07.2017 - 8:57

Danke für den Hinweis. Steht jetzt auch offiziell hier, dass das Update mit dem Fix der SambaCry-Lücke nur für die Inhaber der neuen (und sehr teuren) Wartungsverträge zur Verfügung steht. Das protonet nicht mal mehr wichtige Sicherheitslücken für alle Besitzer der protonet-Boxen fixt, bestärkt mich nur in meiner Entscheidung, die Maya platt zu machen und einen eigenen Server auf der Hardware zu installieren.

Andimann 14.07.2017 - 18:07

ja nun ist es soweit 🙁
ich als „Einmannunternehmen“ fall da jetzt wohl dem Löwen zum Opfer.
damals war es schon viel Geld als Einmalausgabe , dachte es wäre eine Langzeitinvention ich wurde eines besseren belehrt.
Die monatlichen kosten des Servicevertrags sind einfach nicht stemmbar für mich.
Ich werde mal anfragen was ein update Single kostet lass es euch dann wissen.
Sollte es Alternative Lösungen geben last es mich wissen.
Gruß Andi

gerberconsulting 15.07.2017 - 17:13

Hallo Andi

Du sprichst mir aus dem Herzen!!!!

Gruss Fredy

Fab 15.07.2017 - 20:35

Bei mir ist es genauso… ? Bei der Investition für meine Maya war meine Rechnung 1/3 des Kaufpreises für die Hardware und 2/3 für Weiterentwicklung, Updates und Support. So war es in Ordnung, aber nun bleibt ein mieses Gefühl zurück. Zumal ich die Maya nur deswegen (und früher als benötigt) gekauft habe, weil danach diese Bronze-, Silber- und Gold-Support-Dinger kamen und ich die nicht wollte. Ich finde das Verhalten von Protonet nicht ok und anscheinend hat sich auch nur wenig geändert: Man feiert zwar die Insolvenz bzw. das Ende der Insolvenz als „Independence-Day“ im Newsletter, Impressum u.ä. werden aber nicht geändert, das Management ist geblieben, statt einer Firma im deutschen Rechtsraum nun eine amerikanische INC, aus Soul wird irgendwie Soul+ (aber nichts genaues weiß man nicht). Die viel zu teuren Supportverträge bleiben. Die Informationen, die ich den Newslettern entnehme, lassen mich eigentlich nicht hoffen, dass die „richtigen“ Dinge vom Management aus der Vergangenheit gelernt wurden. Schade! Ich war immer begeistert von der Maya, aber diese „Ich bin der deutsche Bill Gates“-Allüren haben mich eigentlich von Anfang an seltsam zurückgelassen. Da hätte ich auf mein Bauchgefühl hören sollen. Ich wollte mich – obwohl Ingenieur – nicht mit Portweiterleitungen, Notifications, Wartung etc. befassen müssen. Das Ding sollte einfach funktionieren. Und für ein Jahr hat es auch geklappt, obwohl ich einige Nerven bei zwei buggy Updates gelassen habe. Aber insgesamt hat es sich für mich finanziell nicht gelohnt. Die Maya ist gerade mal halb abgeschrieben und wegen Sicherheitslücken bald kaum mehr mit gutem Gewissen einzusetzen. Der nächste Server ist dann wohl nicht mehr orange und sechseckig, aber einer, der nicht verdongelt ist, dessen Linux ohne Stress upgedatet werden kann, zumindest im Rahmen der gesetzlichen Gewährleistung funktioniert, der von einer großen Firma kommt, auf dem zigtausendfach bewährte Software läuft (die dann leider nicht mehr SOUL heißt…) und der dann häßlich grauschwarz in einer hinteren Ecken stehen wird… Ich hoffe aber trotzdem noch, dass ein Script von Protonet bereitgestellt wird, welches die SAMBA-Lücke wenigstens schließen wird! Das ist für mich auch eine Frage des Anstandes und des Respektes vor den Kunden, die Protonet/Soul ermöglicht haben!

Andimann 19.07.2017 - 8:55

jo Fab;
am end bleibt uns die hardware aber erhalten ; die spielt ja auch mit anderer software 😉
auch wenn das nicht das Ziel war……
Mir geht es genau so das ich mit admin „kram“ nix zu tun haben wollte, mal schaun ob sich da noch was tut die supportanfrage ist noch nichtmal beantwortet worden:-/

Fab 19.07.2017 - 12:36

Hallo Andimann, tja, da bin ich auch gespannt, was Deine Anfrage bringen wird! Wie gesagt, für mich ist es auch eine Frage des Anstandes und des Respekts den Käufern gegenüber, zumindest Sicherheitslücken zu stopfen und die Ex-Kunden nicht im Regen stehen zu lassen…

Rainer-Maria Fritsch 21.07.2017 - 8:11

Jetzt sind die ersten Angriffe von SambaCry auf Linux-NAS-Boxen gesichtet worden (https://www.heise.de/security/meldung/SambaCry-Erste-Angriffe-auf-Linux-NAS-Boxen-gesichtet-3777456.html). Das uns protonet damit alleine lässt, ist wirklich sehr enttäuschend. Seit bekannt werden der Lücke, habe ich alle Ports im Router geschlossen, die Box ist also nur noch lokal erreichbar.

Es ist nicht nur für den einzelnen User sondern auch gegenüber der Allgemeinheit von protonet unverantwortlich, solche kritischen Sicherheitslöcher nicht zu schließen.

Andimann 25.07.2017 - 20:49

Nach dem immer noch keine Antwort auf meine Supportanfrage kam , hab ich die Initiative ergriffen und die „neue Hotline nr.“ gewählt (super netter Kontakt ….. aber , da sagte Mann mir durch die Blume das Mann mir nicht helfen kann aber der Soul+ Vertrag virteljählich kündbar sei. ergo (79×3)237€Für ein Update und 3monate Support inkl. Folge updates in diesem Zeitraum………..
Das werd ich wohl machen da ich es auch nicht hinbekomme dyndns und Mail Server auf der Box zu konfigurieren:-/

gerberconsulting 17.08.2017 - 22:08

Hallo Andi

Habe leider die selbe schlechte Erfahrung gemacht. Auf meine Anfrage an den Support kam bis heute (1 Monat später) keine Antwort. Ebenfalls keine Antwort auf die Anfrage an die info-Adresse…. Dabei wollte ich bloss wissen, wie man nun zu einem Supportvertrag kommt und wie schnell man künden darf.
Dank Deiner Erfahrung bin ich da nun einen Schritt weiter. Kannst Du mir sagen, wie ich zu einem Supportvertrag komme für meine Maya? Danke.

Andimann 18.08.2017 - 0:09

Ich hab die Service Nummer gewält danach alles ganz einfach ……….;-)

Andimann 18.08.2017 - 0:11

Hi alles nach dem Anruf ganz einfach 😉
Rufnummer +49 40 466 550 466