Übrigens sehr interessant, dass auf Hinweise per E-Mail (u.a. auch an security@…) und lange Diskussionen in sozialen Netzwerken sowie Foren nichts passiert – erst wenn die heisec-Redaktion anfragt, passiert etwas. Da ging die Info ja an die richtige Stelle!
Ich nutze den MyDS-Dienst nicht, deshalb nochmals die Nachfrage: Noch immer keine Warnung an die Nutzer?Und noch immer kein Aufruf dazu alle Konten/PW zu aktualisieren.
Leider nicht, weil die Ausnutzung des Bugs in den meisten Fällen absolut keine Spuren und somit auch keine Logs hinterlässt. Der "Heartbeat" wird bereits sehr früh in der Verbindung gesendet, so dass man mit dem dahinterliegenden Dienst noch gar nicht wirklich kommuniziert hat. Deswegen wird da zu 99% auch nichts protokolliert werden. Von exotischen Firewall-Logs (z.B. alle SYN Pakete loggen) einmal abgesehen, aber die kommen bei einer DS nicht zum Einsatz. Korrigiert mich bitte, falls ich falsch liege und doch etwas protokolliert wird!by the way: 1149 ist der einzige Port, der auf meinem Router offen ist. Im Verbindungsprotokoll der letzten 5 Tage sah ich nur Zugriffe die von mir selber stammen. Kann ich somit davon ausgehen, dass niemand anderes auf meiner DS war?
Zitat aus der Meldung: "UPDATE: ... es werden Updates für DSM 4.3 und DSM 4.2 folgen. Diese sind bereits in der Bearbeitung und werden so schnell wie möglich in den kommenden Tagen veröffentlicht.? Zuerst kommt das Update für DSM 4.2 und danach DSM 4.3, da DSM 4.3-Nutzer potentiell auf DSM 5.0 upgraden können, behandelt Synology das Update für DSM 4.2 mit höherer Priorität." Dass man dafür jetzt immer noch mehrere Tage braucht, ist schon traurig - und die Begründung für die gestaffelte Auslieferung ebenfalls!http://linuxundich.de/ubuntu/synology-liefert-update-gegen-heartbleed-bug-aus-aber-nur-fuer-dsm-5-0/Christoph von linuxundich.de hat erfahren das Updates für 4.2 und 4.3 kommen (siehe Link)
Traurig ist eher das fehlende Wissen zum Thema Test und Multiprojektmanagement. Was glaubt ihr wie viele DS es gibt, wie viele Paket-Kombinationen und Einstellungsmöglichkeiten? Synology tut sich selbst einen Gefallen, wenn erst ein Konzept erstellt wird und dann die Tests gut geplant und durchgeführt werden. Wenn ein vorschnelles Update rausgehauen wird und dann gar nichts mehr geht ist das Geheule hier noch größer. Privatpersonen können ihre DS sicher in den meisten Fällen einfach mal ohne Internetanbindung benutzen. Firmen oder Privatpersonen die darauf angewiesen sind sollten im Hinterkopf behalten, dass ihre System schon länger wie Scheunentore offen standen, es kann somit eh schon zu spät sein. Just my 2 cents... ich nutze Fernzugriff & Co. nicht, somit kann ich Geduld haben.Dass man dafür jetzt immer noch mehrere Tage braucht, ist schon traurig - und die Begründung für die gestaffelte Auslieferung ebenfalls!
Du kannst mit Sicherheit nicht mein "Wissen zum Thema Test und Multiprojektmanagement" beurteilen. Abgesehen davon ist das Thema seit Montag bekannt, heute ist Donnerstag - von einem Unternehmen, das seine Produkte massiv mit einer externen Nutzung bewirbt, erwarte ich mehr Aktivität. Auch andere Firmen sind betroffen mit mindestens ebensolch komplexen Produkten, und die haben ihre Updates oftmals bereits am Dienstag im Feld gehabt.Traurig ist eher das fehlende Wissen zum Thema Test und Multiprojektmanagement. Was glaubt ihr wie viele DS es gibt, wie viele Paket-Kombinationen und Einstellungsmöglichkeiten? Synology tut sich selbst einen Gefallen, wenn erst ein Konzept erstellt wird und dann die Tests gut geplant und durchgeführt werden. ...
Zitat aus der Meldung: "UPDATE: ... es werden Updates für DSM 4.3 und DSM 4.2 folgen. Diese sind bereits in der Bearbeitung und werden so schnell wie möglich in den kommenden Tagen veröffentlicht.? Zuerst kommt das Update für DSM 4.2 und danach DSM 4.3, da DSM 4.3-Nutzer potentiell auf DSM 5.0 upgraden können, behandelt Synology das Update für DSM 4.2 mit höherer Priorität." Dass man dafür jetzt immer noch mehrere Tage braucht, ist schon traurig - und die Begründung für die gestaffelte Auslieferung ebenfalls!
Bei der Vielfalt an Hard- und Software die Synology mit 4.2 und 4.3 noch supportet kann ich schon verstehen, dass das ein paar Tage dauert. Solange da noch was kommt, finde ich das i.O. Die aktuelle Version ist ja bereits gepatcht.Zitat aus der Meldung: "UPDATE: ... es werden Updates für DSM 4.3 und DSM 4.2 folgen. Diese sind bereits in der Bearbeitung und werden so schnell wie möglich in den kommenden Tagen veröffentlicht.? Zuerst kommt das Update für DSM 4.2 und danach DSM 4.3, da DSM 4.3-Nutzer potentiell auf DSM 5.0 upgraden können, behandelt Synology das Update für DSM 4.2 mit höherer Priorität." Dass man dafür jetzt immer noch mehrere Tage braucht, ist schon traurig - und die Begründung für die gestaffelte Auslieferung ebenfalls!
Meines Wissens wurde zu Behebung von CVE-2013-4353 (siehe DSM Release Notes) im Update 1 der 4.3-3827 auf Versin 1.0.1 angehoben.Mal eine Frage. So wie ich es noch in Erinnerung hab war bei 4.3 im Standard die OpenSSL 0.98 drauf. Da ist der Bug ja angeblich nicht vorhanden.
Meines Wissens wurde zu Behebung von CVE-2013-4353 (siehe DSM Release Notes) im Update 1 der 4.3-3827 auf Versin 1.0.1 angehoben.
Yes we will release for affected versions If you are running 4.0-2263 or any version released before that, it is not vulnerable.
Any versions after this will be updated to address this vulnerability.
vor 16 Stunden
Nun habe ich das Problem, dass ich ein kostenloses Zertifikat von StartSSL habe. Diese bieten keinen kostenloses Austausch des Zertifikates an. Wie löst ihr das?
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.