http://heartbleed.com/
ist openssl in der syno firmware drin ?
lohnt es sich das selber zu fixen als laie ?
ist openssl in der syno firmware drin ?
lohnt es sich das selber zu fixen als laie ?
Herzblut
- Ersteller ramoneastral
- Erstellt am
- Status
dany
Benutzer
- Mitglied seit
- 31. Mrz 2008
- Beiträge
- 352
- Punkte für Reaktionen
- 0
- Punkte
- 22
Da auf der Synology-NAS ein Linux läuft, hat es auch openssl drauf.
Da ja ein fix (OpenSSL 1.0.1g) schon bei den meisten Distis gibts, wird Synology sicher bald nachreichen.
Hier die Problematik bei heise.de:
http://www.heise.de/newsticker/meldung/Der-GAU-fuer-Verschluesselung-im-Web-Horror-Bug-in-OpenSSL-2165517.html
Was ich eher erschreckender finde, was macht man mit all den Geräten wie Android oder sonst Embedded Systeme die die OpenSSL Bibliothek nutzen und sich im Internet tummeln.
Da ja ein fix (OpenSSL 1.0.1g) schon bei den meisten Distis gibts, wird Synology sicher bald nachreichen.
Hier die Problematik bei heise.de:
http://www.heise.de/newsticker/meldung/Der-GAU-fuer-Verschluesselung-im-Web-Horror-Bug-in-OpenSSL-2165517.html
Was ich eher erschreckender finde, was macht man mit all den Geräten wie Android oder sonst Embedded Systeme die die OpenSSL Bibliothek nutzen und sich im Internet tummeln.
Zuletzt bearbeitet:
Könnte man openSSL nicht von Hand updaten und anschließend neue Zertifikate erzeugen? Ich bin allerdings überfragt wie ich das bei einem nicht-Debian System bewerkstellige...
Habe vorhin mal auf der Konsole "openssl version" eingegeben und er hat mir 0.9.8 irgendwas angezeigt. Das ist ja noch die alte Version, die davon nicht betroffen ist. Andererseits unterstützt die Version ja eigentlich kein TLS 1.2 und PFS etc. TLS 1.2 wird aber unterstützt; weiß jemand wie das da abläuft? Hat Synology da wieder irgendwelche Änderungen in die alte Version reingepatcht?
jahlives
Benutzer
- Mitglied seit
- 19. Aug 2008
- Beiträge
- 18.275
- Punkte für Reaktionen
- 4
- Punkte
- 0
betroffen sind scheinbar alle 1.0.1-er Versionen bis zu g
Ältere Versionen sind anscheindend nicht betroffen
Den eigenen Server kann man z.B. hier testen: http://possible.lv/tools/hb/
Man könnte (aktuelles) openssl selber nochmals bauen und das -DOPENSSL_NO_HEARTBEATS setzen. Bei der Version auf meiner DS ist das Flag auf jeden Fall nicht gesetzt
Ältere Versionen sind anscheindend nicht betroffen
Den eigenen Server kann man z.B. hier testen: http://possible.lv/tools/hb/
Man könnte (aktuelles) openssl selber nochmals bauen und das -DOPENSSL_NO_HEARTBEATS setzen. Bei der Version auf meiner DS ist das Flag auf jeden Fall nicht gesetzt
Code:
ds1513> openssl version -a
WARNING: can't open config file: /usr/syno/ssl/openssl.cnf
OpenSSL 1.0.1e-fips 11 Feb 2013
built on: Tue Feb 11 19:49:21 CST 2014
platform: linux-elf
options: bn(64,32) rc4(8x,mmx) des(ptr,risc1,16,long) idea(int) blowfish(idx)
compiler: /usr/local/i686-linux-gnu/bin/i686-linux-gnu-ccache-gcc -fPIC -DOPENSSL_PIC -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DOPENSSL_NO_ERR -I/usr/local/i686-linux-gnu/include -DSYNO_X64 -DSYNO_CEDARVIEW -O2 -I/usr/syno/include -g -DSYNO_PLATFORM=CEDARVIEW -DL_ENDIAN -DTERMIO -O3 -fomit-frame-pointer -Wall -DOPENSSL_BN_ASM_PART_WORDS -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_GF2m -I/usr/syno/fips//include -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DRMD160_ASM -DAES_ASM -DVPAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/syno/ssl"Also mein NAS ist nach einer Testseite (siehe oben) betroffen: hab neuestes FW 4.3-3827 Update 1
Auf die Konsole zum Testen der Version komme ich gerade von hier aus nicht.
Auf die Konsole zum Testen der Version komme ich gerade von hier aus nicht.
Hab DSM 5.0 Update 1 auf einer DS212, Konsole zeigt mir OpenSSL Version 0.9.8p an. Der Test oben sagt, mein Server ist verwundbar, eine andere Testseite sagt, alles in Ordnung 
Das gleiche Problem besteht auch mit dsm 5.0u2.. Ich hatte es mal installiert..
http://ukdl.synology.com/download/criticalupdate/update_pack/4458-2/
http://ukdl.synology.com/download/criticalupdate/update_pack/4458-2/
Echt jetzt? Wie schlau ist es auf einer zweifelhaften Internetseite einen Hostnamen einzugeben um zu prüfen ob dieses System verwundbar ist???
Schon mal nach der Firma gesucht oder versucht Informationen über die Seite zu erlangen?
Schon mal nach der Firma gesucht oder versucht Informationen über die Seite zu erlangen?
Nicht verwunderlich, da Update 2 am 03.04. gebaut wurde. Vermutlich war der Fehler in openssl bei Synology zu diesem Zeitpunkt noch nicht bekannt. Ich möchte allerdings auch nicht auf Update 2 warten, um dieses Loch zu fixen. Da sollte Synology asap einen Fix verteilen.
weder: http://filippo.io/Heartbleed noch http://possible.lv/tools/hb/ hat der Heise-Verlag veröffentlicht.
jahlives
Benutzer
- Mitglied seit
- 19. Aug 2008
- Beiträge
- 18.275
- Punkte für Reaktionen
- 4
- Punkte
- 0
ich seh nicht wieso dieser Link gefährlicher sein soll als die Links bei Heise z.B. für den Fritzbox-Test
dany
Benutzer
- Mitglied seit
- 31. Mrz 2008
- Beiträge
- 352
- Punkte für Reaktionen
- 0
- Punkte
- 22
Jeder der Paranoia hat, kann z.B. folgenden Code bei Github holen, bez. den code anschauen und dann einrichten:
https://github.com/FiloSottile/Heartbleed
https://github.com/FiloSottile/Heartbleed
http://possible.lv/tools/hb/ hat Golem veröffentlicht.
Der andere Link wurde im Synology-Forum gepostet.
dany
Benutzer
- Mitglied seit
- 31. Mrz 2008
- Beiträge
- 352
- Punkte für Reaktionen
- 0
- Punkte
- 22
Wer gar niemanden trauen will, der kann folgenden Befehl auf der Shell ausführen:
Beispiel wo Lücke vorhanden
Beispiel wo Lücke vorhanden
PHP:
/usr/syno/bin/openssl s_client -connect sbb.ch:443 -tlsextdebug 2>&1| grep 'server extension "heartbeat" (id=15)' || echo safe- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
