Herzblut

[Frogman]

Irgendwelche Neuigkeiten zu nem 4.3 Update?


---
btw. hier gibt' s noch ne Anleitung die angeblich die bricked ds112j von fehlgeschlagenem 5.0 Update2 wieder fit macht: https://www.facebook.com/synology/https://www.facebook.com/synology/ ....

jo, Facebook rettet die Synology-Welt

Hast Du mal da 'reingeschaut, was dort verteilt wird? Das ist lediglich die Übersetzung der Anleitung, wie sie picture4it und bernhardms hier im Forum erarbeitet haben (und die dann später auch ins offizielle Forum eingezogen ist...). Nachzulesen ab hier ff.

Und nein - es gibt noch keine Neuigkeiten vom DSM-4.3. Zumal ja nach den offiziellen Verlautbarungen zunächst 4.2 'dran ist...

 

[süno42]

was man nicht vergessen sollte: es braucht nicht unbedingt offene Ports ;-) Ein einfaches wget https:// nach aussen würde reichen wenn der Server auf der Gegenseite ein Heartbeat durchschickt

Ganz so dramatisch ist es für Clients nicht, denn diese müssen zunächst signalisieren, daß Sie Heartbeat-Requests empfangen möchten. Weiterhin ist es hier oftmals nicht möglich, eine privaten Schlüssel des Endpunkts abzugreifen, da die Client-Authentifizierung im Normal keine Anwendung findet und der betroffene Prozeß keinen privaten Schlüssel in seinem privaten Speicher benötigt. Es kann höchstens der ohnehin bekannte Sitzungsschlüssel beziehungsweise andere Daten des Prozesses abgegriffen werden.

Kritisch wird es, wenn ein und derselbe Client mehrere Verbindungen zu unterschiedlichen Endpunkten unterhält (beziehungsweise ein paar weitere theoretische Anwendungsfälle), hier könnte dann ein Server Sitzungsschlüssel einer anderen Verbindung abgreifen, sofern der Client Heartbeat-Requests beantwortet.

Bei „wget“ ist das ganze eher unwahrscheinlich.


Viele Grüße
Süno42

 

[bfpears]

http://www.golem.de/news/revocation-zurueckziehen-von-zertifikaten-bringt-wenig-1404-105849.html

Sehr interessanter Artikel über das zurückziehen von Zertifikaten.
Aber ich befürchte das die meisten sowieso ohne nachzudenken auf "unbekanntes Zertifikat ignorieren" oder wie auch immer das heißt klicken.
Ich habe meinen Firefox jetzt aber so eingestellt das wenn er das Zertifikat nicht validieren kann auch nicht weiter macht (ob es funktioniert ...)

 

[ravwerner]

Hi,
eigentlich versteh ich Synology nicht, die 4.2er ist doch scheinbar gar nicht betroffen, da da noch ein alter Code für ssl verwendet wurde, zumindest hab ich das herausgelesen - und die anfällige 4.3 er Version kommt danach dran?
Grüsse Werner

 

[Frogman]

Hi,
eigentlich versteh ich Synology nicht, die 4.2er ist doch scheinbar gar nicht betroffen, da da noch ein alter Code für ssl verwendet wurde, ...

Nein, nicht wirklich - ab der DSM-4.1 ist die OpenSSL-1.0.1c in Verwendung, die von Heartbleed betroffen ist. Nur die DSM-4.0 verwendet noch nicht betroffenen Code aus OpenSSL-1.0.0.
Die DSM-4.1-User fordert Synology auf, mindestens auf DSM-4.2 upzudaten, für den der Patch geliefert werden soll.

 

[ravwerner]

Guten Morgen
Aha, danke dann hab ich da was falsch gelesen. Bei uns in Österreich ist es überhaupt einfach: Presseartikel
Schadenersatz
----------------
Der Datenrechtler weist darauf hin, dass es eine Pflicht zur unverzüglichen Beseitigung der Lücke gebe. Im konkreten Fall sei die Schwachstelle relativ einfach zu beheben, daher müsse sie eigentliche auch innerhalb eines Tages geschlossen werden. Demnach hätte es bereits seit 9. April keine Server mit dieser Lücke mehr in Österreich geben dürfen, so Zeger. Betreibern, die nicht unverzüglich reagieren, drohten Schadenersatz und Verwaltungsstrafen.
----------------
.... relativ einfach ??? .. so stellt sich in Ö der Datenrechtler die Welt vor.
Grüsse
Werner

 

[ottosykora]

Hmm, nun Frage zu Revocation.

Klar wenn ich Schlüssel mit CA in Linux selber mache etc kann ich damit auch den Revoc Cert machen.

Aber wie macht man mit den Selfsigned, die man einfach in Synology auf Knopfdruck erstellt hat einen Revocation Cert?
Wie macht ihr das in Praxis?

Und tut ihr die Revoc dann an die Rechner verteilen die mit der Site verbinden sollen? Oder lässt man es einfach sein?

 

[Thorndike]

Nachdem ich irgendwo im englischen Fprum gelesen habe das sich der Update für die 4.3 bis Ende des Monats hinziehen soll und der Update 2 für die 112j jetzt keinen Ziegelstein mehr erzeugt habe ich einen Update auf die 5.0 gewagt. Mann sieht das jetzt alles Sch... aus und laufen tut auch nur die Hälfte. Also mit DSM 5 hat sich Synology aus meiner Sicht das Grab geschaufelt.

 

[Frogman]

... Betreibern, die nicht unverzüglich reagieren, drohten Schadenersatz und Verwaltungsstrafen.
----------------

Tja, den Schaden zumindest müsste der Betreffende nachweisen - was in diesem Fall schwierig wäre, wenn nicht mal Spuren zurückgelassen werden, dass überhaupt jemand Heartbleed genutzt hat.

 

[gizmo21]

Auch wenn es jetzt paranoid klingt, wäre es vielleicht sogar sinnvoll die Skype... Messaging Funktion (https://www.synology.com/de-de/support/tutorials/477) zu deaktiveren? Ka ob das mit SSL connected und dann auch noch openssl nimmt (muss doch mal in die Konsole gehen und ein bisschen den traffic überwachen).

Also für die noch auf 4.2, 4.3 warten.

 

[Frogman]

Da steht der Name 'Synology' ja auch heute wieder prominent im Scheinwerferlicht...

 

[gizmo21]

Das Update 2 für DSM 4.2-3248 hat Synology heute veröffentlicht:
entnommen hier: http://www.heise.de/security/news/f...-2-verfuegbar/forum-278179/msg-25090175/read/

http://www.synology.com/de-de/support/security_hotfix_dsm_4_2_3248

DSM 4.2-3248 Update 2 addresses vulnerability below:

A vulnerability to allow remote attackers to obtain sensitive
information from process memory. (CVE-2014-0160)

Dann fehlt da http://www.synology.com/de-de/support/security nur noch 4.3

Dort steht nun auch zum ersten mal, dass nicht nur die myds Passwörter geändert werden sollen, sondern zurecht auch alle in der Syno selbst:

As a precaution, you can change your DSM passwords, even if there is no evidence that your data was accessed using this vulnerability.

 

[Frogman]

Das Update 2 für DSM 4.2-3248 hat Synology heute veröffentlicht:
...

Aber hier finden sich (bisher jedenfalls) nur DSM-Files für eine kleine Handvoll DS-Modelle aus der x09er-Serie (DS109x, DS209x, DSM409x, DSM509+, RS409x) ...
Die Benutzer bspw. der 4.2-3211 für aktuellere DS-Modelle haben nix.

 

[ravwerner]

Hi,
stimmt, das ist nur für die 09er Generation - wart ma halt weiter :-(
Werner grüsst

 

[gizmo21]

hier war gerade eine neue checksumdatei mit _3212 files drin: http://global.download.synology.com/download/DSM/4.2/3211/CHECKSUM.MD5

wurde aber wohl gleich wieder ersetzt, mal sehen vielleicht kommt gleich was

 

[Matthieu]

Hi,
stimmt, das ist nur für die 09er Generation - wart ma halt weiter :-(

Das Problem der 09er-Serie ist, dass diese kein 5.0 bekommen haben und zwangsweise auf 4.3 festhängen. Ich persönlich finde es daher nicht falsch diese Updates besonders zügig bereitzustellen.

MfG Matthieu

 

[ravwerner]

Servus,

Ja, hast schon recht, ich meinte es auch nicht abwertend und versteh auch die Problematik. Es geht da eher um die allgemeine Enttäuschung, dass da die Bugs nicht rascher ausgemerzt werden - egal von welcher Version.
Das ist halt ein Armutszeugnis von Synology, geschweige denn die Wochenendgeschicht mit toten Synos und dem Hersteller war es scheinbar nicht mal eine Stellungnahme wert und dass user deren Fehler ausmerzen müssen.....
Nix für ungut.
Grüsse Werner

 

[Matthieu]

Ich kann den Frust verstehen und wollte das auch nicht relativieren - freue mich aber als Besitzer einer 209+II sehr über den doch zügigen Bugfix (nachdem erst vorsichtig von "Ende des Monats" gesprochen wurde).
In Bezug auf die toten Synos hat Synology an die Presse eine entsprechende Stellungnahme geschickt (hab ich im Nachhinein erfahren), die aber bei vielen nicht oder nur sehr spät in die Artikel eingefügt wurde.

MfG Matthieu

 

[Frogman]

Ich kann den Frust verstehen und wollte das auch nicht relativieren - freue mich aber als Besitzer einer 209+II sehr über den doch zügigen Bugfix (nachdem erst vorsichtig von "Ende des Monats" gesprochen wurde).
In Bezug auf die toten Synos hat Synology an die Presse eine entsprechende Stellungnahme geschickt (hab ich im Nachhinein erfahren), die aber bei vielen nicht oder nur sehr spät in die Artikel eingefügt wurde.

Bei der Berücksichtigung für die "alten" Synos stimme ich Dir voll zu, den finde ich auch gut - da hätten anderen vielleicht nur auf den ausgelaufenen Support verwiesen, gerade unter dem Zeitdruck. Wobei die 4.2er-Lösung ja auch innerhalb einer Woche angekündigt war, die 4.3er-Lösung soll dann erst Ende April kommen. Schauen wir mal...
Was dagegen wirklich daneben war: die User auffordern, ihre DS auf Port 23 aufzumachen, um dann allen Ernstes ins Wochenende zu gehen, wie es irgendwo auch in einem Statement zugegeben wurde.

 

[TheTwist76]

Hi,

Dort steht nun auch zum ersten mal, dass nicht nur die myds Passwörter geändert werden sollen, sondern zurecht auch alle in der Syno selbst:

ich wurde per Mail von Synology informiert dieses zu tun allerdings schon vor 3-4 Tagen.

Viele Grüße
TS