Herzblut

[jahlives]

ich denke solange kein Patch für die Firmware vorhanden ist sollte man sich genau überlegen ob man bestimmte Dienste noch nach extern freigeben will. Bis ein Patch da ist ist es imho ein zu grosses Risiko etwas via openssl von extern erreichbar zu machen. Auch wenn der Patch dann da ist, muss man noch mehr tun: alle openssl Schlüssel (private Keys) sollten als kompromittiert angeschaut werden. Man wird neue Schlüssel und damit neue Zertifikate generieren und signieren lassen müssen. Mit den alten Schlüsseln und gepatchtem openssl weiter zu machen würde ich nicht empfehlen. Gemäss der Security Mailingliste meines Vertrauens ;-) müsste der Bug ungefähr seit Dezember 2012 in the Wild sein. Damals kamen die ersten anfälligen openssl Versionen.

Für alle User welche PFS nutzen:
Ivan Ristic legt nahe, dass die Verwendung von PFS nicht bedingunglos vor diesem Bug resp dem nachträglichen Entschlüsseln schützt. Wenn nämlich ein SSL-Ticket-Key (der eigentliche Schlüssel für PFS-Verbindungen) ausgelesen werden kann, dann sind alle damit verschlüsselten Daten lesbar.

 

[491810]

Kann mir mal jemand verraten, WIE ich auf der Konsole das OpenSSL auf die Version 1.0.1g update??? Bin ein Befehls-Laie.
Kann mit der Konsole umgehen und bin auch schon recht weit. Nur eben ein Windoof-Admin und noch kein 24/7-Linux-Guru.
Wer mir also mal das howto bereitstlelen kann ... würde gerne meine DS-713+ auf die aktuelle Version bringen OHNE gleich
auf die neuste DSM5 upzudaten. Bin aus gutem Grund auf meiner DSM 4.2 (u.a. wegen der alten Photostation die ich nutze).

 

[jahlives]

direkt auf der DS dürfte das kaum gehen. Wenn es überhaupt geht, dann nur via Crosscompile wie man es auch für Kernel Module machen kann (z.B. https://hallard.me/how-to-install-kernel-modules-on-synology-ds1010-dsm-4-1/). Ist aber viel viel Aufwand.

 

[491810]

F**k ... ich dachte (typisch Windoof admin), dass man dass ggf. "einfach" updaten könnte und die OpenSSL Version auf 1.0.1g hebt. *damn-it*

 

[Frogman]

Was ich doch enttäuschend finde ist, dass auf der gerade kürzlich erst mit Tamtam eingerichteten Security Advisory-Seite von Synology weit und breit nix von dem Thema zu lesen ist...

 

[Meck]

Mich würde nun noch interessieren was ich mit meinem SSL Zertifikat machen soll.
Soll ich nachdem Synology den Bug gepatcht hat, eine neues Zertifikat bei StartSSL erstellen. Theoretisch könnte jemand meinen privaten Key ausgelesen haben.

Wie macht ihr das?

 

[Frogman]

Das solltest Du tun, wenn Du es gründlich machen willst - aber wichtig ist, dabei wirklich ein neues Schlüsselpaar zu erzeugen und nur den öffentlichen Schlüssel zur Signierung an StartSSL zu schicken (man sollte nämlich auch nicht das Angebot annehmen, sich dort auf der Website ein Schlüsselpaar erzeugen zu lassen).

 

[Great Gatsby]

Die openssl-Version auf meinen DS213j und DS411j

OpenSSL> version
OpenSSL 1.0.1f-fips 6 Jan 2014

ist definitiv von CVE-2014-0160 betroffen.

Die bislang einzig sichtbare Reaktion von Synology sind Tweets, nach denen die im Laufe des heutigen Nachmittags eingetroffenen Exploit-Reporte an das eigene Dev-Team weitergeleitet worden sind ("Thank you for reporting this, we have sent this to our dev team to look into ASAP. We will update you as soon as we can.").

 

[gizmo21]

wenigstens nicht 2 Baustellen daheim

[offtopic]
Fehler in OpenSSL 1.0.1f – FRITZ!-Produkte nicht betroffen:


http://www.avm.de/de/News/artikel/2014/open_ssl_fbox_nicht_betroffen.html?linkident=kurznotiert

 

[Frogman]

Tja, da hat's dieses Mal gerade die Fleißigen erwischt, die immer schön die Versionen nachgezogen haben, gerade um auch TLS auf dem Stand zu halten und PFS - und diejenigen, die hier geschlafen haben wie bspw. AVM haben Glück gehabt.

 

[the0bone]

weder: http://filippo.io/Heartbleed noch http://possible.lv/tools/hb/ hat der Heise-Verlag veröffentlicht.

Doch, sogar beide. http://www.heise.de/newsticker/meld...Sie-Programme-und-Online-Dienste-2165995.html

 

[Frogman]

Doch, sogar beide. http://www.heise.de/newsticker/meld...Sie-Programme-und-Online-Dienste-2165995.html

Diese Seite gab's aber erst um 18:01 Uhr - zum Zeitpunkt des Posts von gizmo21 war nur die Hauptmeldung online.
Ansonsten denke ich aber auch, dass die Seiten kein Risiko darstellen. Allerdings schließe ich mich der Empfehlung von jahlives an, die externe Erreichbarkeit der eigenen DS vorübergehend zu deaktivieren und vor dem neuen Onlineschalten neue Keys zu generieren.

 

[jahlives]

@Frogman
Genau das hab ich heute morgen auch gedacht. Kein aktuelles openssl, kein Problem. Das ist echt fies

Zum Testen der Server kann man sich auch dieses Python Script anschauen: https://gist.github.com/takeshixx/10107280
Ist man anfällig bekommt man den Speicher um die Ohren gehauen ;-)
Rein auf die Version zu gehen kann auch falsch sein. Debian hat heute den Fix in 1.0.1e in Wheezy eingebaut.

 

[networker83]

Eine kurze Frage:
Wenn man das NAS nicht von außen erreichbar gemacht hat (also Webserver etc. nicht aktiv hat), dann dürfte das Problem doch keine Sicherheitsgefahr darstellen, oder?

 

[Frogman]

Wenn Du nicht gerade in einer LAN-WG mit bösen Buben wohnst - nein, dann nicht.

 

[jahlives]

Alles was Frogman gesagt hat und zusätzlich Mailserver oder u.U. auch SSL basierte VPN. Wobei OpenVPN glaub PolarSSL verwendet und damit nach aktuellem Stand nicht angreifbar ist. Grundsätzlich ist alles anfällig was openssl in den anfälligen Versionen verwendet!
Nur ein solcher anfälliger Dienst und der Speicher kann ausgelesen werden. Gerade bei meinem pfsense gesehen, dass kurz nach dem Login das root Passwort im Speicher ist

 

[peterdoubleu]

Der Qualys SSL Labs Test sagt mir, auf der Syno läuft OpenSSL 0.98y und OpenSSL 1.01e, klar muss ja auch, nicht alle Clients können/sollen/wollen TLS1.2

 

[dany]

Alles was Frogman gesagt hat und zusätzlich Mailserver oder u.U. auch SSL basierte VPN. Wobei OpenVPN glaub PolarSSL verwendet und damit nach aktuellem Stand nicht angreifbar ist. Grundsätzlich ist alles anfällig was openssl in den anfälligen Versionen verwendet!
Nur ein solcher anfälliger Dienst und der Speicher kann ausgelesen werden. Gerade bei meinem pfsense gesehen, dass kurz nach dem Login das root Passwort im Speicher ist

OpenVPN ist auch davon betroffen, nur wurde dies schon am 13. August 2013 (OpenVPN 2.3.2) geschlossen.

https://forums.openvpn.net/topic15526.html
http://openvpn.net/index.php/download/community-downloads.html
Zitat: The I004 Windows installer includes OpenSSL 1.0.1g, which fixes the fairly serious ​

TLS heartbeat security vulnerability

.​

 

[Mike0185]

Qualys SSL Labs Test sagt mir Rating: F

This server is vulnerable to the Heartbleed attack. Grade set to F. (Experimental)

PS: Wo ist Synology mit Ihrer neuen Security-Seite....!?

 

[Thorndike]

Ich habe eben einmal nachgesehen, für mein 4.3 wird nur ein Update auf 5.0 angeboten. Mal sehen ob wirklich noch ein Update rauskommt oder ich auf 5.0 gezwungen werde.