Herzblut

killerbees19 · 09. Apr 2014

Neuer Tag, kein Update (DS verwundbar…) und zur Krönung spuckt myds.synology.com noch immer fremde Logindaten aus!

Code:

&username=*****%40gmail.com&passwd=*****&action=update_heartbeat
&username=*****%40rogers.com&passwd=*****&action=update_heartbeat
&username=*****%40126.com&passwd=*****&action=update_heartbeat

…

Daher kann ich euch nur raten: Deaktiviert alle Portweiterleitungen von extern und schaltet sofort MyDS u.ä. ab!
Ich hoffe, dass Synology alle Nutzer des MyDS-Dienestes darüber informiert, dass jeder sein Passwort ändern muss.

Für mich persönlich wird das wohl ein Schlussstrich sein. Nach so einer Aktion ohne Reaktion ist mein Vertrauen gegenüber Synology auf Null gesunken.

MfG Christian

gizmo21 · 09. Apr 2014

Thorndike schrieb:
Ich habe eben einmal nachgesehen, für mein 4.3 wird nur ein Update auf 5.0 angeboten. Mal sehen ob wirklich noch ein Update rauskommt oder ich auf 5.0 gezwungen werde.

Naja aktuell ist ja weder für 5.0 noch 4.3 ein Update da.

ka ob das offizeill ist aber QNAP scheint zumindest mal nen Plan zu haben wie sie es machen:
http://forum.qnap.com/viewtopic.php?p=406102&sid=26f9af5c7c0a5de9935e2d5116d20196#p406055

ein Recompile der eingsetzten Version mit -DOPENSSL_NO_HEARTBEATS erscheint mir für die schnelle Auslieferung die richtige Variante.

Matthieu · 09. Apr 2014

Mike0185 schrieb:
PS: Wo ist Synology mit Ihrer neuen Security-Seite....!?

Als ich das letzte mal nachgesehen habe stand auf der Seite dick und fett dass dort erst Einträge erstellt werden, sobald ein Fix zur Verfügung steht (speziell bei DSM-only-Lücken auch sehr sinnvoll, sonst bindet man sich die Zero-Day-Exploits ja quasi freiwillig auf den Bauch).

MfG Matthieu

Matthieu · 09. Apr 2014

Ich hab gerade mal nachgehakt - wenn alles glatt läuft gibt es morgen ein Update.

MfG Matthieu

Frogman · 09. Apr 2014

Matthieu schrieb:
...dass dort erst Einträge erstellt werden, sobald ein Fix zur Verfügung steht (speziell bei DSM-only-Lücken auch sehr sinnvoll, sonst bindet man sich die Zero-Day-Exploits ja quasi freiwillig auf den Bauch).

Naja, wenn die Lücke aber bereits öffentlich ist, sollten dort nach meiner Ansicht aber - durchaus schon vor dem Fix - mögliche Schutz-Maßnahmen aufgezeigt werden, wie sie hier ja gegeben ist durch die Sperrung externer Zugriffe... die Seite heißt ja schließlich Security Advisory Page.

killerbees19 · 09. Apr 2014

Matthieu schrieb:
Ich hab gerade mal nachgehakt - wenn alles glatt läuft gibt es morgen ein Update.

Und wann kümmern die sich endlich um ihre eigenen verwundbaren Server? Die spucken weiterhin fremde Logindetails aus…

MfG Christian

Fozzybaer · 09. Apr 2014

Ich finds ja irgendwie lustig.
Klar der Bug ist echt mal fies und bedeutet Arbeit, da man ggf seine Zertifikate neu bauen muss. Aber hat sich mal einer Überlegt, besonders von Seite der professionellen Admins, wo der Bug noch so drin steckt? Ich sag nur mal Firewalls mit entsprechenden SSL Modulen?! Da ist so eine kleine Synobox doch fast schon das geringste aller Probleme

an124 · 09. Apr 2014

killerbees19 schrieb:
Neuer Tag, kein Update (DS verwundbar…) und zur Krönung spuckt myds.synology.com noch immer fremde Logindaten aus!

Code:

&username=*****%40gmail.com&passwd=*****&action=update_heartbeat &username=*****%40rogers.com&passwd=*****&action=update_heartbeat &username=*****%40126.com&passwd=*****&action=update_heartbeat …

Daher kann ich euch nur raten: Deaktiviert alle Portweiterleitungen von extern und schaltet sofort MyDS u.ä. ab!
Ich hoffe, dass Synology alle Nutzer des MyDS-Dienestes darüber informiert, dass jeder sein Passwort ändern muss.

Für mich persönlich wird das wohl ein Schlussstrich sein. Nach so einer Aktion ohne Reaktion ist mein Vertrauen gegenüber Synology auf Null gesunken.

MfG Christian

wo kann ich das rauslesen?

killerbees19 · 09. Apr 2014

an124 schrieb:
wo kann ich das rauslesen?

Ich werde jetzt hier keine zusätzliche Anleitung dazu geben. Wer weiß, wie man den Heartbleed-Bug testet, sieht die Daten sofort.

MfG Christian

gizmo21 · 09. Apr 2014

killerbees19 schrieb:
Wer weiß, wie man den Heartbleed-Bug testet, sieht die Daten sofort.

und das sind inzwischen Tausende die es können und solange Synology nicht mindestens seine eigenen Server aktualisiert und die Nutzer öffentlich sofort informiert ihre Port-Weiterleitungen am Router zu deaktivieren (oder Ports auf Syno zu schliessen) werden Nutzerdaten von hunderten ahnungslosen Syno-Usern weiter abgegriffen.

killerbees19 · 09. Apr 2014

Besonders lustig wird es, wenn die Nutzer vielleicht das gleiche Passwort für die zum Login verwendete E-Mail Adresse haben

MfG Christian

networker83 · 09. Apr 2014

killerbees19 schrieb:
Für mich persönlich wird das wohl ein Schlussstrich sein. Nach so einer Aktion ohne Reaktion ist mein Vertrauen gegenüber Synology auf Null gesunken.

Sorry, aber glaubst du dass QNAP wirklich besser ist als Synology? Meine persönlichen Erfahrungen mit beiden Herstellern sprechen eine andere Sprache: Jedes Mal wenn QNAP eine neue Firmware raus bringt, enthält diese mehr Fehler als die Vorgängerversionen. Die letzte halbwegs stabile FW war 3.7.3. Und gravierende Bugs werden bei QNAP auch nicht wirklich gefixt, z.B. werden bei aktivierter Download-Station ohne Wissen des Users im Hintergrund BT-Daten für fremde User auf dem eigenen NAS zwischengelagert - abschalten lässt sich das aber nicht.

Zwar ist QNAP zumindest bei FW 3.7.3 und 3.8.1 nicht von dieser OpenSSL-Sicherheitslücke betroffen, aber die haben noch ganz andere Baustellen...

killerbees19 · 09. Apr 2014

networker83 schrieb:
Sorry, aber glaubst du dass QNAP wirklich besser ist als Synology?

Du hast mich falsch verstanden: Natürlich ist QNAP nicht besser! Ich meinte damit eher, dass meine zukünftigen NAS wieder Selbstbau werden und ausschließlich mit Debian o.ä. laufen. Da kann ich mir wenigstens selbst helfen und muss nicht schockiert zusehen, wie ein Hersteller alles tot schweigt.

MfG Christian

networker83 · 09. Apr 2014

killerbees19 schrieb:
Du hast mich falsch verstanden: Natürlich ist QNAP nicht besser! Ich meinte damit eher, dass meine zukünftigen NAS wieder Selbstbau werden und ausschließlich mit Debian o.ä. laufen. Da kann ich mir wenigstens selbst helfen und muss nicht schockiert zusehen, wie ein Hersteller alles tot schweigt.

MfG Christian

Hallo Christian,

okay, dann kann ich dich sogar verstehen. Ich bin auch am Überlegen, ob nicht bald ein Microserver mit CentOS fällig wird, am besten mit SAS-Controller damit ich solche oder ähnlich DAS-Gehäuse nutzen kann.

dave82 · 09. Apr 2014

killerbees19 schrieb:
Neuer Tag, kein Update (DS verwundbar…) und zur Krönung spuckt myds.synology.com noch immer fremde Logindaten aus!

Code:

&username=*****%40gmail.com&passwd=*****&action=update_heartbeat &username=*****%40rogers.com&passwd=*****&action=update_heartbeat &username=*****%40126.com&passwd=*****&action=update_heartbeat …

Daher kann ich euch nur raten: Deaktiviert alle Portweiterleitungen von extern und schaltet sofort MyDS u.ä. ab!
Ich hoffe, dass Synology alle Nutzer des MyDS-Dienestes darüber informiert, dass jeder sein Passwort ändern muss.

Für mich persönlich wird das wohl ein Schlussstrich sein. Nach so einer Aktion ohne Reaktion ist mein Vertrauen gegenüber Synology auf Null gesunken.

MfG Christian

Hi,

krass der Bug besteht immernoch und spuckt munter Login sowie Passwörter raus (getestet um 12:40 Uhr). Dann lieber bis zum Fix die Seite myds.synology.com vom Netz nehmen. Ein Gutes Beispiel ist die To-Do App Wunderlist. Die haben gestern direkt nach dem Bekanntwerden bis zum Fix die Dienste gestoppt.

Verstehe nicht wieso Synology und andere Anbieter so mit einer kritischen Lücke umgehen. Bin gespannt ob Synology nach einem Fix eine Mail mit Aufforderung zum Passwortwechseln rausschickt

Gruß Dave

Frogman · 09. Apr 2014

dave82 schrieb:
...Bin gespannt ob Synology nach einem Fix eine Mail mit Aufforderung zum Passwortwechseln rausschickt

Ob ist eine Frage, wann die zweite... - die email mit dem Hinweis auf die Update 1 der 4.3-3827 erreichte mich auch erst mehr als eine Woche nach Bereitstellung. Bei einem Update, was unter "critical update" läuft, ist das weit weg von vorbildlich.

jahlives · 09. Apr 2014

Greift auf KEINEN Fall via Syno-DynDNS auf Eure DS zu!! Ausser ihr kontrolliert JEDESMAL dass der Name noch korrekt auf Eure externe IP auflöst!!
Durch die PW/Logindaten bei synodyndns könnte man sonst ein update unterschieben und auf eine IP mit Keylogger zeigen lassen!

jahlives · 09. Apr 2014

auf welche Seite?
Wer hier eine Anleitung postet wie man an die Daten kommt fliegt!

Waldschrat · 09. Apr 2014

dany schrieb:
Jeder der Paranoia hat, kann z.B. folgenden Code bei Github holen, bez. den code anschauen und dann einrichten:
https://github.com/FiloSottile/Heartbleed

Hallo dany.
Ich hab´ von meinem Arbeitsplatz leider keinen Zugriff auf diese Seite. Hast Du vielleicht noch einen anderen Link zu dem Thema?

Phonix · 09. Apr 2014

Auf dem FTP sind neue Versionen vom Update 2 (09.04.) für DSM 5. Dort könnte der Fix für das Problem mit drin sein (http://forum.synology.com/enu/viewtopic.php?f=145&t=84158&start=30#p316547)

EDIT: laut einem anderen User dort ist der Fix wirklich drin (OpenSSL Version 1.0.1g)

Herzblut

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Kaffeautomat