Herzblut

Status
Für weitere Antworten geschlossen.

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.736
Punkte für Reaktionen
1.642
Punkte
314

Mike0185

Benutzer
Mitglied seit
26. Jun 2012
Beiträge
447
Punkte für Reaktionen
14
Punkte
24
Habe gestern das Update-2 auch ohne Probleme bei DSM 5.0-4458-1 eingespielt. Die Lücke ist gestopft.

Nun habe ich das Problem, dass ich ein kostenloses Zertifikat von StartSSL habe. Diese bieten keinen kostenloses Austausch des Zertifikates an. Wie löst ihr das? Heise Security berichtet, dass viele Stellen derzeit einen kostenloses Austausch anbieten oder bereits Provider für die Kunden das vornehmen.

# Pech haben offenbar die Nutzer der kostenlosen StartSSL-Zertifikate des Anbieters StartCom. Für eine Neuausstellung eines durch Heartbleed kompromittierten Zertifikats verlangt das Unternehmen eine Bearbeitungsgebühr von 24,90 US-Dollar.
 

Pablo Diablo

Benutzer
Mitglied seit
04. Jan 2013
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Hallo Leute

Meine Syno war leider auch betroffen. Habe nun die folgenden Schritte durchgeführt:

- Das Update auf meine DS212+ geladen, nun gibt die Konsole "OpenSSL 1.0.1g-fips" aus.
- Alle Passwörter in der Syno geändert
- Neues selbst signiertes Zertifikat erstellt (über Systemsteuerung / Sicherheit / Zertifikate)
- ca.crt, clien.crt, client.key und openvpn.ovpn bzw. ios.ovpn von der Syno gezogen und auf den clients verteilt.

Der Zugriff über OpenVPN läuft.

Wars das oder muss noch mehr gemacht werden?

by the way: 1149 ist der einzige Port, der auf meinem Router offen ist. Im Verbindungsprotokoll der letzten 5 Tage sah ich nur Zugriffe die von mir selber stammen. Kann ich somit davon ausgehen, dass niemand anderes auf meiner DS war?
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
... Im Verbindungsprotokoll der letzten 5 Tage sah ich nur Zugriffe die von mir selber stammen. Kann ich somit davon ausgehen, dass niemand anderes auf meiner DS war?
Das Thema ist schon gehörig älter - ich würde also eher vom Schlechtfall ausgehen.
 

Thorndike

Benutzer
Mitglied seit
22. Sep 2010
Beiträge
742
Punkte für Reaktionen
4
Punkte
38
Den Fehler in OpenSSL gibt es seit 2012, er ist nur in den letzten Tagen publik gemacht worden. Wie lange die Synology verwundbar war weiß wohl nur der Hersteller. Wenn du OpenVPN nach draußen geöffnet hattest und die eingesetzte Version eine verwundbare OpenSSL benutzt kann also auch vorher jemand rumspioniert haben.
Da du aber alle Kennwürter und Zertifikate geändert hast sollte zumindest nichts mehr neues passieren.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Es gibt Neuigkeiten!
Aber Synology hält es trotz des "critical security issue of OpenSSL" nicht für nötig, dieses auch auf ihrer Security-Advisory-Seite kundzutun, dort ist man noch beim Update 1 für die 4.3 vom 18. März: http://www.synology.com/de-de/support/security . Guter Gedanke mit der Seite, miserable Umsetzung! (und gleiches resumiere ich langsam auch für die Idee mit dem Updatemechanismus - was hilft der, wenn er so schleppend, oder bzgl. der 4.3 im aktuellen Fall bisher gar nicht genutzt wird)
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.736
Punkte für Reaktionen
1.642
Punkte
314
Naja, ich hab ja auch nie behauptet, das ich Vorgehensweise bzgl. Informations- und Updatepolitik gut finde. Selbst wenn Synology für den OpenSSL Fehler primär erstmal nichts kann, so sollten sie sich doch zumindest in der Pflicht sehen, die Anwender zu informieren damit sie Präventivmaßnahmen ergreifen können, solange es kein Update für die Sicherheitslücke gibt. Oder hat einer von Euch eine Mail vom Support erhalten?

Tommes
 

Pablo Diablo

Benutzer
Mitglied seit
04. Jan 2013
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Das Thema ist schon gehörig älter - ich würde also eher vom Schlechtfall ausgehen.

Ich weiss dass die Lücke schon länger besteht. Ich meinte mit meiner Frage eher, ob ein Eindringling das Zugriffsprotokoll manipulieren konnte, so dass "seine" Session nicht mehr gelistet ist.

Wobei diese Frage vielleicht müssig ist, da ein potentieller Angreifer durch die Lücke eh mit Vollzugriff alles hätte manipulieren können, auch das Zugriffsprotokoll...

???
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Naja, ich hab ja auch nie behauptet, das ich Vorgehensweise bzgl. Informations- und Updatepolitik gut finde. ...
Sorry, das war nicht wirklich auf Dein Statement gemünzt, ich hab das nur als Aufhänger genutzt, um die schlechte Kommunikation von Synology zu kritisieren... :)
 

Thorndike

Benutzer
Mitglied seit
22. Sep 2010
Beiträge
742
Punkte für Reaktionen
4
Punkte
38
Scheinbar gab es gestern Abend gegen20.00 Uhr eine Meldung auf Facebook das es den Bug gibt und alle die sich "Sorgen machen" myId nicht benutzen sollen und alle Ports schließen.
 

maut

Benutzer
Mitglied seit
22. Sep 2011
Beiträge
24
Punkte für Reaktionen
0
Punkte
0
Das da noch nix Offizielles kommt von Synology find ich echt traurig.

Nur so ne Frage zum Verständnis:
Der Bug betrifft ja das Open SSL, das somit ja auch das OpenVPN kompromitiert.
Ist ein VPN über L2TP auch potentiell gefährdet?
Laut meinem Verständniss, sollte dieses doch nicht vom Heartbleed betroffen sein.
(Sorry für die blöde Frage, aber in diesem Punkt hat mein Wissen der Materie doch eine Lücke)
Aktuell habe ich jedenfalls sicherheitshalber meinen VPN-Server auf der Diskstation down.
 

mischmaster

Benutzer
Mitglied seit
06. Nov 2012
Beiträge
221
Punkte für Reaktionen
0
Punkte
0
Ich hab unsere Firmen DS812+ auch mit dem Update 2 vom Synology FTP Server upgedated. Läuft und hat keine Sicherheitlücke mehr!
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
OpenVPN ist nur betroffen wenn es gegen OpenSSL gelinkt wurde. Gibt auch die Möglichkeit gegen PolarSSL zu linken, welches nicht anfällig ist.
Zudem ist OpenVPN nur dann kompromittiert wenn man keine TLS-Auth eingesetzt hat: https://community.openvpn.net/openvpn/wiki/heartbleed letzter Punkt auf der Seite
 

maut

Benutzer
Mitglied seit
22. Sep 2011
Beiträge
24
Punkte für Reaktionen
0
Punkte
0
@jahlives:
Danke fü den interessanten Link
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Scheinbar gab es gestern Abend gegen20.00 Uhr eine Meldung auf Facebook das es den Bug gibt und alle die sich "Sorgen machen" myId nicht benutzen sollen und alle Ports schließen.
Tja, und alle, die wie ich diesen Datensammler-Club nicht nutzen, bleiben also uninformiert... - meine Herren :-/
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Frage: wieso braucht man eine explizite Anleitung was zu tun ist vom Hersteller? Es gibt einen Bugreport wo recht genau steht was betroffen ist. Es ist dann Sache des Admins das umzusetzen!
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Aber wenn jetzt das Update 2 draußen ist, sollte man darüber aber doch hinreichend an den dafür eingerichteten Stellen, per email oder sonstwie aufgeklärt werden - das nur in die Release Notes zu schreiben, halte ich für halbherzig.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Frage: wieso braucht man eine explizite Anleitung was zu tun ist vom Hersteller?

Keine Anleitung... Einen Hinweis, dass etwas faul ist im Staate Dänemark!
Mindestens einmal als Privatnutzer lese ich nicht ständig die Fach-Presse und weiß überhaupt von einer Lücke.

Dann sollte Synology auch ein Wort an die eigenen Nutzer wenden, zumal, wenn sie ihren DynDNS-Service nutzen. Alles andere erachte ich schon als (grob) fahrlässig.

Achtung Autovergleich: Der Hersteller kontaktiert soweit möglich auch die bekannten Halter, wenn z.B. die Bremsanlage serienmässig defekt ist.
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.736
Punkte für Reaktionen
1.642
Punkte
314
Sorry, das war nicht wirklich auf Dein Statement gemünzt...
So hab ich das auch garnicht aufgefasst. Scheinbar haben wir beide bei dem Thema ein wenig überreagiert :D

Scheinbar gab es gestern Abend gegen20.00 Uhr eine Meldung auf Facebook...
Facebook! Braucht man das?
Muß ich jetzt tatsächlich Facebooknutzer werden um aktuelle Infos von Synology zu erhalten? Ha...

Tommes
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat