Herzblut

Status
Für weitere Antworten geschlossen.

killerbees19

Benutzer
Mitglied seit
26. Jun 2010
Beiträge
158
Punkte für Reaktionen
2
Punkte
22
Neuer Tag, kein Update (DS verwundbar…) und zur Krönung spuckt myds.synology.com noch immer fremde Logindaten aus! :mad:

Code:
&username=*****%40gmail.com&passwd=*****&action=update_heartbeat
&username=*****%40rogers.com&passwd=*****&action=update_heartbeat
&username=*****%40126.com&passwd=*****&action=update_heartbeat

…

Daher kann ich euch nur raten: Deaktiviert alle Portweiterleitungen von extern und schaltet sofort MyDS u.ä. ab!
Ich hoffe, dass Synology alle Nutzer des MyDS-Dienestes darüber informiert, dass jeder sein Passwort ändern muss.

Für mich persönlich wird das wohl ein Schlussstrich sein. Nach so einer Aktion ohne Reaktion ist mein Vertrauen gegenüber Synology auf Null gesunken.


MfG Christian
 

gizmo21

Benutzer
Mitglied seit
16. Jul 2012
Beiträge
120
Punkte für Reaktionen
17
Punkte
18
Ich habe eben einmal nachgesehen, für mein 4.3 wird nur ein Update auf 5.0 angeboten. Mal sehen ob wirklich noch ein Update rauskommt oder ich auf 5.0 gezwungen werde.

Naja aktuell ist ja weder für 5.0 noch 4.3 ein Update da.


ka ob das offizeill ist aber QNAP scheint zumindest mal nen Plan zu haben wie sie es machen:
http://forum.qnap.com/viewtopic.php?p=406102&sid=26f9af5c7c0a5de9935e2d5116d20196#p406055

ein Recompile der eingsetzten Version mit -DOPENSSL_NO_HEARTBEATS erscheint mir für die schnelle Auslieferung die richtige Variante.
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
PS: Wo ist Synology mit Ihrer neuen Security-Seite....!?
Als ich das letzte mal nachgesehen habe stand auf der Seite dick und fett dass dort erst Einträge erstellt werden, sobald ein Fix zur Verfügung steht (speziell bei DSM-only-Lücken auch sehr sinnvoll, sonst bindet man sich die Zero-Day-Exploits ja quasi freiwillig auf den Bauch).

MfG Matthieu
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Ich hab gerade mal nachgehakt - wenn alles glatt läuft gibt es morgen ein Update.

MfG Matthieu
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
...dass dort erst Einträge erstellt werden, sobald ein Fix zur Verfügung steht (speziell bei DSM-only-Lücken auch sehr sinnvoll, sonst bindet man sich die Zero-Day-Exploits ja quasi freiwillig auf den Bauch).
Naja, wenn die Lücke aber bereits öffentlich ist, sollten dort nach meiner Ansicht aber - durchaus schon vor dem Fix - mögliche Schutz-Maßnahmen aufgezeigt werden, wie sie hier ja gegeben ist durch die Sperrung externer Zugriffe... die Seite heißt ja schließlich Security Advisory Page.
 

killerbees19

Benutzer
Mitglied seit
26. Jun 2010
Beiträge
158
Punkte für Reaktionen
2
Punkte
22
Ich hab gerade mal nachgehakt - wenn alles glatt läuft gibt es morgen ein Update.
Und wann kümmern die sich endlich um ihre eigenen verwundbaren Server? Die spucken weiterhin fremde Logindetails aus…


MfG Christian
 

Fozzybaer

Benutzer
Mitglied seit
08. Jan 2011
Beiträge
146
Punkte für Reaktionen
0
Punkte
0
Ich finds ja irgendwie lustig.
Klar der Bug ist echt mal fies und bedeutet Arbeit, da man ggf seine Zertifikate neu bauen muss. Aber hat sich mal einer Überlegt, besonders von Seite der professionellen Admins, wo der Bug noch so drin steckt? Ich sag nur mal Firewalls mit entsprechenden SSL Modulen?! Da ist so eine kleine Synobox doch fast schon das geringste aller Probleme ;)
 

an124

Benutzer
Mitglied seit
05. Jul 2013
Beiträge
115
Punkte für Reaktionen
0
Punkte
0
Neuer Tag, kein Update (DS verwundbar…) und zur Krönung spuckt myds.synology.com noch immer fremde Logindaten aus! :mad:

Code:
&username=*****%40gmail.com&passwd=*****&action=update_heartbeat
&username=*****%40rogers.com&passwd=*****&action=update_heartbeat
&username=*****%40126.com&passwd=*****&action=update_heartbeat

…

Daher kann ich euch nur raten: Deaktiviert alle Portweiterleitungen von extern und schaltet sofort MyDS u.ä. ab!
Ich hoffe, dass Synology alle Nutzer des MyDS-Dienestes darüber informiert, dass jeder sein Passwort ändern muss.

Für mich persönlich wird das wohl ein Schlussstrich sein. Nach so einer Aktion ohne Reaktion ist mein Vertrauen gegenüber Synology auf Null gesunken.


MfG Christian

wo kann ich das rauslesen?
 

killerbees19

Benutzer
Mitglied seit
26. Jun 2010
Beiträge
158
Punkte für Reaktionen
2
Punkte
22
wo kann ich das rauslesen?
Ich werde jetzt hier keine zusätzliche Anleitung dazu geben. Wer weiß, wie man den Heartbleed-Bug testet, sieht die Daten sofort.


MfG Christian
 

gizmo21

Benutzer
Mitglied seit
16. Jul 2012
Beiträge
120
Punkte für Reaktionen
17
Punkte
18
Wer weiß, wie man den Heartbleed-Bug testet, sieht die Daten sofort.

und das sind inzwischen Tausende die es können und solange Synology nicht mindestens seine eigenen Server aktualisiert und die Nutzer öffentlich sofort informiert ihre Port-Weiterleitungen am Router zu deaktivieren (oder Ports auf Syno zu schliessen) werden Nutzerdaten von hunderten ahnungslosen Syno-Usern weiter abgegriffen.
 

killerbees19

Benutzer
Mitglied seit
26. Jun 2010
Beiträge
158
Punkte für Reaktionen
2
Punkte
22
Besonders lustig wird es, wenn die Nutzer vielleicht das gleiche Passwort für die zum Login verwendete E-Mail Adresse haben :(


MfG Christian
 

networker83

Benutzer
Mitglied seit
06. Okt 2013
Beiträge
81
Punkte für Reaktionen
2
Punkte
8
Für mich persönlich wird das wohl ein Schlussstrich sein. Nach so einer Aktion ohne Reaktion ist mein Vertrauen gegenüber Synology auf Null gesunken.

Sorry, aber glaubst du dass QNAP wirklich besser ist als Synology? Meine persönlichen Erfahrungen mit beiden Herstellern sprechen eine andere Sprache: Jedes Mal wenn QNAP eine neue Firmware raus bringt, enthält diese mehr Fehler als die Vorgängerversionen. Die letzte halbwegs stabile FW war 3.7.3. Und gravierende Bugs werden bei QNAP auch nicht wirklich gefixt, z.B. werden bei aktivierter Download-Station ohne Wissen des Users im Hintergrund BT-Daten für fremde User auf dem eigenen NAS zwischengelagert - abschalten lässt sich das aber nicht.

Zwar ist QNAP zumindest bei FW 3.7.3 und 3.8.1 nicht von dieser OpenSSL-Sicherheitslücke betroffen, aber die haben noch ganz andere Baustellen...
 

killerbees19

Benutzer
Mitglied seit
26. Jun 2010
Beiträge
158
Punkte für Reaktionen
2
Punkte
22
Sorry, aber glaubst du dass QNAP wirklich besser ist als Synology?
Du hast mich falsch verstanden: Natürlich ist QNAP nicht besser! Ich meinte damit eher, dass meine zukünftigen NAS wieder Selbstbau werden und ausschließlich mit Debian o.ä. laufen. Da kann ich mir wenigstens selbst helfen und muss nicht schockiert zusehen, wie ein Hersteller alles tot schweigt.


MfG Christian
 

networker83

Benutzer
Mitglied seit
06. Okt 2013
Beiträge
81
Punkte für Reaktionen
2
Punkte
8
Du hast mich falsch verstanden: Natürlich ist QNAP nicht besser! Ich meinte damit eher, dass meine zukünftigen NAS wieder Selbstbau werden und ausschließlich mit Debian o.ä. laufen. Da kann ich mir wenigstens selbst helfen und muss nicht schockiert zusehen, wie ein Hersteller alles tot schweigt.


MfG Christian

Hallo Christian,

okay, dann kann ich dich sogar verstehen. Ich bin auch am Überlegen, ob nicht bald ein Microserver mit CentOS fällig wird, am besten mit SAS-Controller damit ich solche oder ähnlich DAS-Gehäuse nutzen kann.
 

dave82

Benutzer
Mitglied seit
25. Jan 2014
Beiträge
159
Punkte für Reaktionen
0
Punkte
22
Neuer Tag, kein Update (DS verwundbar…) und zur Krönung spuckt myds.synology.com noch immer fremde Logindaten aus! :mad:

Code:
&username=*****%40gmail.com&passwd=*****&action=update_heartbeat
&username=*****%40rogers.com&passwd=*****&action=update_heartbeat
&username=*****%40126.com&passwd=*****&action=update_heartbeat

…

Daher kann ich euch nur raten: Deaktiviert alle Portweiterleitungen von extern und schaltet sofort MyDS u.ä. ab!
Ich hoffe, dass Synology alle Nutzer des MyDS-Dienestes darüber informiert, dass jeder sein Passwort ändern muss.

Für mich persönlich wird das wohl ein Schlussstrich sein. Nach so einer Aktion ohne Reaktion ist mein Vertrauen gegenüber Synology auf Null gesunken.


MfG Christian

Hi,

krass der Bug besteht immernoch und spuckt munter Login sowie Passwörter raus (getestet um 12:40 Uhr). Dann lieber bis zum Fix die Seite myds.synology.com vom Netz nehmen. Ein Gutes Beispiel ist die To-Do App Wunderlist. Die haben gestern direkt nach dem Bekanntwerden bis zum Fix die Dienste gestoppt.

Verstehe nicht wieso Synology und andere Anbieter so mit einer kritischen Lücke umgehen. Bin gespannt ob Synology nach einem Fix eine Mail mit Aufforderung zum Passwortwechseln rausschickt ;)

Gruß Dave
 
Zuletzt bearbeitet:

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
...Bin gespannt ob Synology nach einem Fix eine Mail mit Aufforderung zum Passwortwechseln rausschickt ;)
Ob ist eine Frage, wann die zweite... - die email mit dem Hinweis auf die Update 1 der 4.3-3827 erreichte mich auch erst mehr als eine Woche nach Bereitstellung. Bei einem Update, was unter "critical update" läuft, ist das weit weg von vorbildlich.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Greift auf KEINEN Fall via Syno-DynDNS auf Eure DS zu!! Ausser ihr kontrolliert JEDESMAL dass der Name noch korrekt auf Eure externe IP auflöst!!
Durch die PW/Logindaten bei synodyndns könnte man sonst ein update unterschieben und auf eine IP mit Keylogger zeigen lassen!
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
auf welche Seite?
Wer hier eine Anleitung postet wie man an die Daten kommt fliegt!
 

Waldschrat

Benutzer
Mitglied seit
09. Apr 2014
Beiträge
158
Punkte für Reaktionen
3
Punkte
24
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat