Herzblut

Status
Für weitere Antworten geschlossen.

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
ich denke solange kein Patch für die Firmware vorhanden ist sollte man sich genau überlegen ob man bestimmte Dienste noch nach extern freigeben will. Bis ein Patch da ist ist es imho ein zu grosses Risiko etwas via openssl von extern erreichbar zu machen. Auch wenn der Patch dann da ist, muss man noch mehr tun: alle openssl Schlüssel (private Keys) sollten als kompromittiert angeschaut werden. Man wird neue Schlüssel und damit neue Zertifikate generieren und signieren lassen müssen. Mit den alten Schlüsseln und gepatchtem openssl weiter zu machen würde ich nicht empfehlen. Gemäss der Security Mailingliste meines Vertrauens ;-) müsste der Bug ungefähr seit Dezember 2012 in the Wild sein. Damals kamen die ersten anfälligen openssl Versionen.

Für alle User welche PFS nutzen:
Ivan Ristic legt nahe, dass die Verwendung von PFS nicht bedingunglos vor diesem Bug resp dem nachträglichen Entschlüsseln schützt. Wenn nämlich ein SSL-Ticket-Key (der eigentliche Schlüssel für PFS-Verbindungen) ausgelesen werden kann, dann sind alle damit verschlüsselten Daten lesbar.
 

491810

Benutzer
Mitglied seit
20. Jul 2013
Beiträge
578
Punkte für Reaktionen
3
Punkte
44
Kann mir mal jemand verraten, WIE ich auf der Konsole das OpenSSL auf die Version 1.0.1g update??? Bin ein Befehls-Laie.
Kann mit der Konsole umgehen und bin auch schon recht weit. Nur eben ein Windoof-Admin und noch kein 24/7-Linux-Guru.
Wer mir also mal das howto bereitstlelen kann ... würde gerne meine DS-713+ auf die aktuelle Version bringen OHNE gleich
auf die neuste DSM5 upzudaten. Bin aus gutem Grund auf meiner DSM 4.2 (u.a. wegen der alten Photostation die ich nutze).
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0

491810

Benutzer
Mitglied seit
20. Jul 2013
Beiträge
578
Punkte für Reaktionen
3
Punkte
44
F**k ... ich dachte (typisch Windoof admin), dass man(n) dass ggf. "einfach" updaten könnte und die OpenSSL Version auf 1.0.1g hebt. *damn-it*
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Was ich doch enttäuschend finde ist, dass auf der gerade kürzlich erst mit Tamtam eingerichteten Security Advisory-Seite von Synology weit und breit nix von dem Thema zu lesen ist...
 

Meck

Benutzer
Mitglied seit
12. Dez 2013
Beiträge
82
Punkte für Reaktionen
0
Punkte
6
Mich würde nun noch interessieren was ich mit meinem SSL Zertifikat machen soll.
Soll ich nachdem Synology den Bug gepatcht hat, eine neues Zertifikat bei StartSSL erstellen. Theoretisch könnte jemand meinen privaten Key ausgelesen haben.

Wie macht ihr das?
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Das solltest Du tun, wenn Du es gründlich machen willst - aber wichtig ist, dabei wirklich ein neues Schlüsselpaar zu erzeugen und nur den öffentlichen Schlüssel zur Signierung an StartSSL zu schicken (man sollte nämlich auch nicht das Angebot annehmen, sich dort auf der Website ein Schlüsselpaar erzeugen zu lassen).
 

Great Gatsby

Benutzer
Mitglied seit
09. Jan 2010
Beiträge
92
Punkte für Reaktionen
0
Punkte
0
Die openssl-Version auf meinen DS213j und DS411j

Rich (BBCode):
OpenSSL> version
OpenSSL 1.0.1f-fips 6 Jan 2014

ist definitiv von CVE-2014-0160 betroffen.

Die bislang einzig sichtbare Reaktion von Synology sind Tweets, nach denen die im Laufe des heutigen Nachmittags eingetroffenen Exploit-Reporte an das eigene Dev-Team weitergeleitet worden sind ("Thank you for reporting this, we have sent this to our dev team to look into ASAP. We will update you as soon as we can.").
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Tja, da hat's dieses Mal gerade die Fleißigen erwischt, die immer schön die Versionen nachgezogen haben, gerade um auch TLS auf dem Stand zu halten und PFS - und diejenigen, die hier geschlafen haben wie bspw. AVM haben Glück gehabt.
 

the0bone

Benutzer
Mitglied seit
18. Jan 2014
Beiträge
183
Punkte für Reaktionen
0
Punkte
0

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Diese Seite gab's aber erst um 18:01 Uhr - zum Zeitpunkt des Posts von gizmo21 war nur die Hauptmeldung online.
Ansonsten denke ich aber auch, dass die Seiten kein Risiko darstellen. Allerdings schließe ich mich der Empfehlung von jahlives an, die externe Erreichbarkeit der eigenen DS vorübergehend zu deaktivieren und vor dem neuen Onlineschalten neue Keys zu generieren.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
@Frogman
Genau das hab ich heute morgen auch gedacht. Kein aktuelles openssl, kein Problem. Das ist echt fies :)

Zum Testen der Server kann man sich auch dieses Python Script anschauen: https://gist.github.com/takeshixx/10107280
Ist man anfällig bekommt man den Speicher um die Ohren gehauen ;-)
Rein auf die Version zu gehen kann auch falsch sein. Debian hat heute den Fix in 1.0.1e in Wheezy eingebaut.
 

networker83

Benutzer
Mitglied seit
06. Okt 2013
Beiträge
81
Punkte für Reaktionen
2
Punkte
8
Eine kurze Frage:
Wenn man das NAS nicht von außen erreichbar gemacht hat (also Webserver etc. nicht aktiv hat), dann dürfte das Problem doch keine Sicherheitsgefahr darstellen, oder?
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Wenn Du nicht gerade in einer LAN-WG mit bösen Buben wohnst - nein, dann nicht.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Alles was Frogman gesagt hat und zusätzlich Mailserver oder u.U. auch SSL basierte VPN. Wobei OpenVPN glaub PolarSSL verwendet und damit nach aktuellem Stand nicht angreifbar ist. Grundsätzlich ist alles anfällig was openssl in den anfälligen Versionen verwendet!
Nur ein solcher anfälliger Dienst und der Speicher kann ausgelesen werden. Gerade bei meinem pfsense gesehen, dass kurz nach dem Login das root Passwort im Speicher ist
 

peterdoubleu

Benutzer
Mitglied seit
09. Okt 2013
Beiträge
12
Punkte für Reaktionen
0
Punkte
1
Der Qualys SSL Labs Test sagt mir, auf der Syno läuft OpenSSL 0.98y und OpenSSL 1.01e, klar muss ja auch, nicht alle Clients können/sollen/wollen TLS1.2
 

dany

Benutzer
Mitglied seit
31. Mrz 2008
Beiträge
352
Punkte für Reaktionen
0
Punkte
22
Alles was Frogman gesagt hat und zusätzlich Mailserver oder u.U. auch SSL basierte VPN. Wobei OpenVPN glaub PolarSSL verwendet und damit nach aktuellem Stand nicht angreifbar ist. Grundsätzlich ist alles anfällig was openssl in den anfälligen Versionen verwendet!
Nur ein solcher anfälliger Dienst und der Speicher kann ausgelesen werden. Gerade bei meinem pfsense gesehen, dass kurz nach dem Login das root Passwort im Speicher ist

OpenVPN ist auch davon betroffen, nur wurde dies schon am 13. August 2013 (OpenVPN 2.3.2) geschlossen.


https://forums.openvpn.net/topic15526.html
http://openvpn.net/index.php/download/community-downloads.html
Zitat: The I004 Windows installer includes OpenSSL 1.0.1g, which fixes the fairly serious
TLS heartbeat security vulnerability
.
 

Mike0185

Benutzer
Mitglied seit
26. Jun 2012
Beiträge
447
Punkte für Reaktionen
14
Punkte
24
Qualys SSL Labs Test sagt mir Rating: F :D

This server is vulnerable to the Heartbleed attack. Grade set to F. (Experimental)


PS: Wo ist Synology mit Ihrer neuen Security-Seite....!?
 

Thorndike

Benutzer
Mitglied seit
22. Sep 2010
Beiträge
742
Punkte für Reaktionen
4
Punkte
38
Ich habe eben einmal nachgesehen, für mein 4.3 wird nur ein Update auf 5.0 angeboten. Mal sehen ob wirklich noch ein Update rauskommt oder ich auf 5.0 gezwungen werde.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat