Herzblut

[rumknapser]

Ne, genau darum ist dein FTP ja betroffen. Die Library ist OpenSSL.

Hatte ich auch so verstanden. Entschuldigung ob der verwirrenden Wortwahl

 

[peterdoubleu]

Hallo,

ich habe zu Heartbleed eine Verständnisfrage: Kann jeder Server von außen angegriffen werden oder brauche ich erstmal ein gültiges Login?


Gruß Peter

 

[gizmo21]

Jeder Server der im Netz steht und über SSL angesprochen werden kann und die verwundbaren Versionen der Biliothek einsetzt. Ohne Login... es reicht der Aufruf des Servers.

http://www.fabianpimminger.com/tech/was-ist-heartbleed-der-kritische-openssl-bug-erklaert/

 

[networker83]

Kann mir bitte jemand sagen, wie ich an DSM 5.0 Updade 2 heran komme? Über die Systemsteuerung der DSM zeigt es mir weiterhin "Ihre Version ist aktuell" an. Auf ftp.synology.com werden Benutzername und Passwort verlangt...

 

[Waldschrat]

Link

http://ukdl.synology.com/download/criticalupdate/update_pack/4458-2/

 

[laserdesign]

http://ukdl.synology.com/download/criticalupdate/update_pack/4458-2/

ich weiß aber nicht ob man das schon einspielen soll, was meint ihr, hat es schon jemand gemacht??

PS: Da war ich zu langsam, aber sollte man das schon machen??

 

[lordfiSh]

klar warum nicht, wenn du warten möchtest deaktiert erstmal den Webzugang.
Bei mir hat alles funktioniert und DMS läuft noch

 

[laserdesign]

ja ist mir schon klar, aber dieses Update-2 ist noch nicht als Release ausgewiesen und wenn ich es jetzt installiere kann ich dann später wieder an der Versionsdatei rumfummeln.

Ausserdem habe ich hier diese Version drauf:
openssl version
OpenSSL 0.9.8v 19 Apr 2012

und die ist ja wohl nicht betroffen.

 

[lordfiSh]

am besten testen: http://possible.lv/tools/hb/

 

[lemonstre]

Tja, da hat's dieses Mal gerade die Fleißigen erwischt, die immer schön die Versionen nachgezogen haben, gerade um auch TLS auf dem Stand zu halten und PFS - und diejenigen, die hier geschlafen haben wie bspw. AVM haben Glück gehabt.

Hmm, die 1.x Versionen von OpenSLL sind meinem Verständnis nach nicht einfach eine Fortschreibung sondern ein neuer Strang in der Entwicklung. Daher haben noch lange nicht alle Entwickler auf 1.x umgestellt. MacOS ist daher auch nicht betroffen. Getreu dem Motto: If it ain't broke, don't fix it

 

[Tommes]

ja ist mir schon klar, aber dieses Update-2 ist noch nicht als Release ausgewiesen und wenn ich es jetzt installiere kann ich dann später wieder an der Versionsdatei rumfummeln.

Die Dateien auf dem Downloadserver wurden heute aktualisiert, da bis heute der Stand von 03.April 2014 16:06 Uhr ausgewiesen war und jetzt steht da 09.April 2014 10:28 Uhr. Sicherlich kannst du das Update einspielen, jedoch wirst du wohlmöglich nochmal in den Systemdateien rumfuchteln müssen um dann die evtl. Final nachschieben zu können.

Tommes

 

[laserdesign]

danke Tommes für die ausführliche Erklärung.

Ich verstehe das Konzept von Synology immer weniger, so ein wichtiges Update müsste doch über das automatische Updaten kommen.
Ich kann doch nicht ständig auf dem FTP-Server von Synology schauen, ob da etwas neues liegt.
Etwas seltsam wie die das handhaben. Aber gut ich will hier nicht abkotzen.

 

[Frogman]

... so ein wichtiges Update müsste doch über das automatische Updaten kommen.

Das tut es ja auch, sobald es offiziell freigegeben ist (was zugegebenerweise in diesem Fall unerträglich lange dauert).
Dass wir immer selbst auf den Servern herumstöbern, ist ja inoffiziell - wobei es aber offenbar geduldet wird, sonst wären die Verzeichnisse ja längst gesperrt so wie das pool-Verzeichnis.

 

[Tommes]

Ich habe mich hier schon zu dem Thema geäußert. Wen es interessiert...

http://www.synology-forum.de/showth...-Probleme-Bugs&p=418960&viewfull=1#post418960

Tommes

 

[jahlives]

so ne Info nebenbei, nicht dass es heisst die böse NSA ;-) Die Erweiterung für Heartbeat kommt aus deutschen Landen. Hat scheinbar etwas mit der Doktorarbeit desjenigen zu tun. Die Infos kann man sich alle ergoogeln, drum poste ich hier nichts. Er hat es im Januar 2012 als RFC eingereicht und im Dezember 2012 wurden die ersten openssl damit ausgeliefert

 

[laserdesign]

@Tommes,
ja , hatte ich gelesen und bin voll deiner Meinung.

Man stelle sich nur den unbedarften User vor.
Nur gut das es hier diese Community und klasse Forum gibt.

 

[Fozzybaer]

Als Spielkind gerade mal das 5.0 Update 2 vom Synoserver gezogen und installiert. Ergebnis:
OpenSSL 1.0.1g-fips 7 Apr 2014

 

[jahlives]

@Fozzybaer
auch geprüft, dass Heartbeat WIRKLICH gepatched ist? Nur die Version alleine efg heisst noch nichts ;-) Debian hat es z.B. im e gefixt
Bei github gibt es ein Python Script womit du DEINEN Server testen kannst

Ich weiss das folgende geht auf einer DS leider nicht (u32 Modul fehlt), aber mit iptables und u32 kann man auf einem Gateway resp Server so alle Heartbeats für Port 443 blocken

iptables -t filter -A INPUT  -p tcp --dport 443  -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP

 

[gizmo21]

http://www.heise.de/newsticker/meld...Luecke-mit-katastrophalen-Folgen-2166861.html

Da sag ich nur selbst Schuld Synology, den Prager habt ihr Euch redlich verdiend

Und noch immer kein Aufruf dazu alle Konten/PW zu aktualisieren.

 

[Tommes]

Es gibt Neuigkeiten!

Version: 5.0-4458 Update 2

(2014/04/10)
Change Log

-Fixed a critical security issue of OpenSSL (heartbleed) to prevent secret keys from being compromised. (CVE-2014-0160)

-Enhanced the reliability of moving shared folders to different volumes.

-Fixed a security issue causing encrypted shared folders to be mounted automatically after resetting the admin's password by pressing the reset button.

-Fixed an issue causing system services and applications to possibly stop working.

-Fixed an issue causing files indexing in Media Library to possibly stop working.

-Fixed an issue preventing users from logging into FTP service when Personal Website was enabled and the homes shared folder was located on an ext3 volume.

-Fixed an issue causing hard drives to not hibernate when SSD read-write cache was enabled.