Herzblut

[Pulpi]

Hm, ich würde sagen das unter dem Link nicht das "aktuellste" Update-2 liegt, denn last modified wird mit 03. April angegeben...

 

[stulpinger]

laut DSM/Systemsteuerung/DSM-Aktualisierung steht bei mir DSM-Datum 2014/04/09 bzw. DSM 5.0-4458 Update 2

 

[killerbees19]

Weiß jemand, ob für 4.3 ein Update kommt oder schon wo existiert? Der Synology Support ist wenig hilfreich und die DS findet (noch) keines

http://www.heise.de/newsticker/meld...Luecke-mit-katastrophalen-Folgen-2166861.html

Übrigens sehr interessant, dass auf Hinweise per E-Mail (u.a. auch an security@…) und lange Diskussionen in sozialen Netzwerken sowie Foren nichts passiert – erst wenn die heisec-Redaktion anfragt, passiert etwas. Da ging die Info ja an die richtige Stelle!

Und noch immer kein Aufruf dazu alle Konten/PW zu aktualisieren.

Ich nutze den MyDS-Dienst nicht, deshalb nochmals die Nachfrage: Noch immer keine Warnung an die Nutzer?
Falls das weiterhin ausbleibt, sollte die heisec-Redaktion denen vielleicht nochmals auf die Finger klopfen…

by the way: 1149 ist der einzige Port, der auf meinem Router offen ist. Im Verbindungsprotokoll der letzten 5 Tage sah ich nur Zugriffe die von mir selber stammen. Kann ich somit davon ausgehen, dass niemand anderes auf meiner DS war?

Leider nicht, weil die Ausnutzung des Bugs in den meisten Fällen absolut keine Spuren und somit auch keine Logs hinterlässt. Der "Heartbeat" wird bereits sehr früh in der Verbindung gesendet, so dass man mit dem dahinterliegenden Dienst noch gar nicht wirklich kommuniziert hat. Deswegen wird da zu 99% auch nichts protokolliert werden. Von exotischen Firewall-Logs (z.B. alle SYN Pakete loggen) einmal abgesehen, aber die kommen bei einer DS nicht zum Einsatz. Korrigiert mich bitte, falls ich falsch liege und doch etwas protokolliert wird!


MfG Christian

 

[Pulpi]

Wenn ich mich mal selbst zitieren darf Schau einfach in Post #131

Da steht übrigens unter anderem, das auch für 4.3 noch ein Patch kommen soll

Anhang anzeigen 16908

 

[killerbees19]

Danke Pulpi! Deinen Beitrag muss ich beim schnellen Überfliegen der letzten ~8 Seiten übersehen haben


MfG Christian

 

[Waldschrat]

Aufforderung zum Tanz

Ich bin der Meinung, dass nur von Nutzen sein kann wenn soviele Nutzer von DSM 4.3 wie möglich über die Supportseite von Synology eine Anfrage ASAP nach Patch für OpenSSL absetzen. Ich hab´ grade schon eine losgetreten.
Synology Support

 

[bfpears]

http://linuxundich.de/ubuntu/synology-liefert-update-gegen-heartbleed-bug-aus-aber-nur-fuer-dsm-5-0/

Christoph von linuxundich.de hat erfahren das Updates für 4.2 und 4.3 kommen (siehe Link)

 

[Frogman]

http://linuxundich.de/ubuntu/synology-liefert-update-gegen-heartbleed-bug-aus-aber-nur-fuer-dsm-5-0/Christoph von linuxundich.de hat erfahren das Updates für 4.2 und 4.3 kommen (siehe Link)

Zitat aus der Meldung: "UPDATE: ... es werden Updates für DSM 4.3 und DSM 4.2 folgen. Diese sind bereits in der Bearbeitung und werden so schnell wie möglich in den kommenden Tagen veröffentlicht.? Zuerst kommt das Update für DSM 4.2 und danach DSM 4.3, da DSM 4.3-Nutzer potentiell auf DSM 5.0 upgraden können, behandelt Synology das Update für DSM 4.2 mit höherer Priorität." Dass man dafür jetzt immer noch mehrere Tage braucht, ist schon traurig - und die Begründung für die gestaffelte Auslieferung ebenfalls!

 

[DarkSoul]

Dass man dafür jetzt immer noch mehrere Tage braucht, ist schon traurig - und die Begründung für die gestaffelte Auslieferung ebenfalls!

Traurig ist eher das fehlende Wissen zum Thema Test und Multiprojektmanagement. Was glaubt ihr wie viele DS es gibt, wie viele Paket-Kombinationen und Einstellungsmöglichkeiten? Synology tut sich selbst einen Gefallen, wenn erst ein Konzept erstellt wird und dann die Tests gut geplant und durchgeführt werden. Wenn ein vorschnelles Update rausgehauen wird und dann gar nichts mehr geht ist das Geheule hier noch größer. Privatpersonen können ihre DS sicher in den meisten Fällen einfach mal ohne Internetanbindung benutzen. Firmen oder Privatpersonen die darauf angewiesen sind sollten im Hinterkopf behalten, dass ihre System schon länger wie Scheunentore offen standen, es kann somit eh schon zu spät sein. Just my 2 cents... ich nutze Fernzugriff & Co. nicht, somit kann ich Geduld haben.

 

[Frogman]

Traurig ist eher das fehlende Wissen zum Thema Test und Multiprojektmanagement. Was glaubt ihr wie viele DS es gibt, wie viele Paket-Kombinationen und Einstellungsmöglichkeiten? Synology tut sich selbst einen Gefallen, wenn erst ein Konzept erstellt wird und dann die Tests gut geplant und durchgeführt werden. ...

Du kannst mit Sicherheit nicht mein "Wissen zum Thema Test und Multiprojektmanagement" beurteilen. Abgesehen davon ist das Thema seit Montag bekannt, heute ist Donnerstag - von einem Unternehmen, das seine Produkte massiv mit einer externen Nutzung bewirbt, erwarte ich mehr Aktivität. Auch andere Firmen sind betroffen mit mindestens ebensolch komplexen Produkten, und die haben ihre Updates oftmals bereits am Dienstag im Feld gehabt.

 

[fbl1]

Zitat aus der Meldung: "UPDATE: ... es werden Updates für DSM 4.3 und DSM 4.2 folgen. Diese sind bereits in der Bearbeitung und werden so schnell wie möglich in den kommenden Tagen veröffentlicht.? Zuerst kommt das Update für DSM 4.2 und danach DSM 4.3, da DSM 4.3-Nutzer potentiell auf DSM 5.0 upgraden können, behandelt Synology das Update für DSM 4.2 mit höherer Priorität." Dass man dafür jetzt immer noch mehrere Tage braucht, ist schon traurig - und die Begründung für die gestaffelte Auslieferung ebenfalls!

Mal eine Frage. So wie ich es noch in Erinnerung hab war bei 4.3 im Standard die OpenSSL 0.98 drauf. Da ist der Bug ja angeblich nicht vorhanden.

 

[schmadde]

Zitat aus der Meldung: "UPDATE: ... es werden Updates für DSM 4.3 und DSM 4.2 folgen. Diese sind bereits in der Bearbeitung und werden so schnell wie möglich in den kommenden Tagen veröffentlicht.? Zuerst kommt das Update für DSM 4.2 und danach DSM 4.3, da DSM 4.3-Nutzer potentiell auf DSM 5.0 upgraden können, behandelt Synology das Update für DSM 4.2 mit höherer Priorität." Dass man dafür jetzt immer noch mehrere Tage braucht, ist schon traurig - und die Begründung für die gestaffelte Auslieferung ebenfalls!

Bei der Vielfalt an Hard- und Software die Synology mit 4.2 und 4.3 noch supportet kann ich schon verstehen, dass das ein paar Tage dauert. Solange da noch was kommt, finde ich das i.O. Die aktuelle Version ist ja bereits gepatcht.

 

[Frogman]

Mal eine Frage. So wie ich es noch in Erinnerung hab war bei 4.3 im Standard die OpenSSL 0.98 drauf. Da ist der Bug ja angeblich nicht vorhanden.

Meines Wissens wurde zu Behebung von CVE-2013-4353 (siehe DSM Release Notes) im Update 1 der 4.3-3827 auf Versin 1.0.1 angehoben.

 

[fbl1]

Meines Wissens wurde zu Behebung von CVE-2013-4353 (siehe DSM Release Notes) im Update 1 der 4.3-3827 auf Versin 1.0.1 angehoben.

Danke, wie gesagt. Wusste ich nicht mehr genau. Ist schon ewig her wo ich das gebraucht hatte. War vor dem Update 1 das war das einzige was ich noch wusste.

 

[gizmo21]

Synology auf Facebook:
https://www.facebook.com/synology/p...omment_id=31307746&offset=0&total_comments=26

Yes we will release for affected versions If you are running 4.0-2263 or any version released before that, it is not vulnerable.
Any versions after this will be updated to address this vulnerability.
vor 16 Stunden

Soll also heißen jede Syno kann vor Heartbleed gesichert werden (oder ist es bereits durch Alter).

 

[jahlives]

hier eine Liste von "anfälligen" Services wo man besser das PW ändert. Allerdings mit einem Schwergewicht auf englischsprachigen Diensten: http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/

 

[the0bone]

Dafür haben die ja ein Link zu den TOP 10.000 Seiten... und dort findet man dann auch web.de oder so.

 

[Waldschrat]

Update auf 5.0 Update 2

Habe mich schweren Herzens entschlossen von 4.3 auf 5.0 zu heben um dem leidigen SSL zu Leibe zu rücken.

Fazit:
+ SSL Fehler scheint nach dem Besuch von zwei Überprüfungsseiten behoben zu sein

- MailServer: nach dem Zwangsupdate mußten alle Konfigurationsdateien neu eingespielt und mittels postmap kompiliert werden
- MailStation läßt sich nicht mehr starten: "Es tut uns Leid, die von Ihnen gesuchte Seite konnte nicht gefunden werden.", daher auch kein Zugriff mehr auf Mails
- Mein externer Datenträger wurde von 'usbshare1' auf 'usbshare3' umbenannt. TimeBackup findet daher die alten Backups nicht mehr

Hat dazu bitte jemand eine Idee?

[edit1:] Mails verschicken klappt wieder, MailStation nach wie vor tot, daher kein Mailempfang möglich
[edit2:] Mailstation muss im PaketZentrum gestartet werden Asche auf mein Haupt, Mails empfangen klappt auch wieder.
usbshare3 muß einen richtigen Namen bekommen dann wird eine Verknüpfung mit der Laufwerks-ID hergestellt die dann angeblich nicht mehr von Updates verändert wird (Link ins Forum)
wer´s trotzdem gerne geändert haben möchte findet hier eine Anleitung: link ins internationale Forum

 

[hopeless]

Kann den Beitrag jemand verschieben, der hat ja nun nichts mehr mit Herzblut zu tun

 

[hopeless]

Nun habe ich das Problem, dass ich ein kostenloses Zertifikat von StartSSL habe. Diese bieten keinen kostenloses Austausch des Zertifikates an. Wie löst ihr das?

Ich habe erst einmal den Zugriff per https aus dem iNet abgeknipst. Brauch das auch z.Zt. nicht wirklich. Bitter ist auch Selfhost, die noch nicht ihr Zertifikat erneuert haben und auch sonst nichts dazu verlautbaren .

Site: mail.selfhost.de
Server software: Apache/2.2.3 (CentOS)
Vulnerable: Very likely (known use OpenSSL)
SSL Certificate: Unsafe (created 6 months ago at Oct 12 03:55:41 2013 GMT)
Assessment: Wait for the site to update before changing your password

von: https://lastpass.com/heartbleed/