Toggle sidebar

Herzblut

Status
Für weitere Antworten geschlossen.
Neuer Tag, kein Update (DS verwundbar…) und zur Krönung spuckt myds.synology.com noch immer fremde Logindaten aus! :mad:

Code: 
&username=*****%40gmail.com&passwd=*****&action=update_heartbeat
&username=*****%40rogers.com&passwd=*****&action=update_heartbeat
&username=*****%40126.com&passwd=*****&action=update_heartbeat

…

Daher kann ich euch nur raten: Deaktiviert alle Portweiterleitungen von extern und schaltet sofort MyDS u.ä. ab!
Ich hoffe, dass Synology alle Nutzer des MyDS-Dienestes darüber informiert, dass jeder sein Passwort ändern muss.

Für mich persönlich wird das wohl ein Schlussstrich sein. Nach so einer Aktion ohne Reaktion ist mein Vertrauen gegenüber Synology auf Null gesunken.


MfG Christian
 
Thorndike schrieb:
Ich habe eben einmal nachgesehen, für mein 4.3 wird nur ein Update auf 5.0 angeboten. Mal sehen ob wirklich noch ein Update rauskommt oder ich auf 5.0 gezwungen werde.
Zum Vergrößern anklicken....

Naja aktuell ist ja weder für 5.0 noch 4.3 ein Update da.


ka ob das offizeill ist aber QNAP scheint zumindest mal nen Plan zu haben wie sie es machen:
http://forum.qnap.com/viewtopic.php?p=406102&sid=26f9af5c7c0a5de9935e2d5116d20196#p406055

ein Recompile der eingsetzten Version mit -DOPENSSL_NO_HEARTBEATS erscheint mir für die schnelle Auslieferung die richtige Variante.
 
Mike0185 schrieb:
PS: Wo ist Synology mit Ihrer neuen Security-Seite....!?
Zum Vergrößern anklicken....
Als ich das letzte mal nachgesehen habe stand auf der Seite dick und fett dass dort erst Einträge erstellt werden, sobald ein Fix zur Verfügung steht (speziell bei DSM-only-Lücken auch sehr sinnvoll, sonst bindet man sich die Zero-Day-Exploits ja quasi freiwillig auf den Bauch).

MfG Matthieu
 
Ich hab gerade mal nachgehakt - wenn alles glatt läuft gibt es morgen ein Update.

MfG Matthieu
 
Matthieu schrieb:
...dass dort erst Einträge erstellt werden, sobald ein Fix zur Verfügung steht (speziell bei DSM-only-Lücken auch sehr sinnvoll, sonst bindet man sich die Zero-Day-Exploits ja quasi freiwillig auf den Bauch).
Zum Vergrößern anklicken....
Naja, wenn die Lücke aber bereits öffentlich ist, sollten dort nach meiner Ansicht aber - durchaus schon vor dem Fix - mögliche Schutz-Maßnahmen aufgezeigt werden, wie sie hier ja gegeben ist durch die Sperrung externer Zugriffe... die Seite heißt ja schließlich Security Advisory Page.
 
Matthieu schrieb:
Ich hab gerade mal nachgehakt - wenn alles glatt läuft gibt es morgen ein Update.
Zum Vergrößern anklicken....
Und wann kümmern die sich endlich um ihre eigenen verwundbaren Server? Die spucken weiterhin fremde Logindetails aus…


MfG Christian
 
Ich finds ja irgendwie lustig.
Klar der Bug ist echt mal fies und bedeutet Arbeit, da man ggf seine Zertifikate neu bauen muss. Aber hat sich mal einer Überlegt, besonders von Seite der professionellen Admins, wo der Bug noch so drin steckt? Ich sag nur mal Firewalls mit entsprechenden SSL Modulen?! Da ist so eine kleine Synobox doch fast schon das geringste aller Probleme ;)
 
killerbees19 schrieb:
Neuer Tag, kein Update (DS verwundbar…) und zur Krönung spuckt myds.synology.com noch immer fremde Logindaten aus! :mad:

Code: 
&username=*****%40gmail.com&passwd=*****&action=update_heartbeat
&username=*****%40rogers.com&passwd=*****&action=update_heartbeat
&username=*****%40126.com&passwd=*****&action=update_heartbeat

…

Daher kann ich euch nur raten: Deaktiviert alle Portweiterleitungen von extern und schaltet sofort MyDS u.ä. ab!
Ich hoffe, dass Synology alle Nutzer des MyDS-Dienestes darüber informiert, dass jeder sein Passwort ändern muss.

Für mich persönlich wird das wohl ein Schlussstrich sein. Nach so einer Aktion ohne Reaktion ist mein Vertrauen gegenüber Synology auf Null gesunken.


MfG Christian
Zum Vergrößern anklicken....

wo kann ich das rauslesen?
 
an124 schrieb:
wo kann ich das rauslesen?
Zum Vergrößern anklicken....
Ich werde jetzt hier keine zusätzliche Anleitung dazu geben. Wer weiß, wie man den Heartbleed-Bug testet, sieht die Daten sofort.


MfG Christian
 
killerbees19 schrieb:
Wer weiß, wie man den Heartbleed-Bug testet, sieht die Daten sofort.
Zum Vergrößern anklicken....

und das sind inzwischen Tausende die es können und solange Synology nicht mindestens seine eigenen Server aktualisiert und die Nutzer öffentlich sofort informiert ihre Port-Weiterleitungen am Router zu deaktivieren (oder Ports auf Syno zu schliessen) werden Nutzerdaten von hunderten ahnungslosen Syno-Usern weiter abgegriffen.
 
Besonders lustig wird es, wenn die Nutzer vielleicht das gleiche Passwort für die zum Login verwendete E-Mail Adresse haben :(


MfG Christian
 
killerbees19 schrieb:
Für mich persönlich wird das wohl ein Schlussstrich sein. Nach so einer Aktion ohne Reaktion ist mein Vertrauen gegenüber Synology auf Null gesunken.
Zum Vergrößern anklicken....

Sorry, aber glaubst du dass QNAP wirklich besser ist als Synology? Meine persönlichen Erfahrungen mit beiden Herstellern sprechen eine andere Sprache: Jedes Mal wenn QNAP eine neue Firmware raus bringt, enthält diese mehr Fehler als die Vorgängerversionen. Die letzte halbwegs stabile FW war 3.7.3. Und gravierende Bugs werden bei QNAP auch nicht wirklich gefixt, z.B. werden bei aktivierter Download-Station ohne Wissen des Users im Hintergrund BT-Daten für fremde User auf dem eigenen NAS zwischengelagert - abschalten lässt sich das aber nicht.

Zwar ist QNAP zumindest bei FW 3.7.3 und 3.8.1 nicht von dieser OpenSSL-Sicherheitslücke betroffen, aber die haben noch ganz andere Baustellen...
 
networker83 schrieb:
Sorry, aber glaubst du dass QNAP wirklich besser ist als Synology?
Zum Vergrößern anklicken....
Du hast mich falsch verstanden: Natürlich ist QNAP nicht besser! Ich meinte damit eher, dass meine zukünftigen NAS wieder Selbstbau werden und ausschließlich mit Debian o.ä. laufen. Da kann ich mir wenigstens selbst helfen und muss nicht schockiert zusehen, wie ein Hersteller alles tot schweigt.


MfG Christian
 
killerbees19 schrieb:
Du hast mich falsch verstanden: Natürlich ist QNAP nicht besser! Ich meinte damit eher, dass meine zukünftigen NAS wieder Selbstbau werden und ausschließlich mit Debian o.ä. laufen. Da kann ich mir wenigstens selbst helfen und muss nicht schockiert zusehen, wie ein Hersteller alles tot schweigt.


MfG Christian
Zum Vergrößern anklicken....

Hallo Christian,

okay, dann kann ich dich sogar verstehen. Ich bin auch am Überlegen, ob nicht bald ein Microserver mit CentOS fällig wird, am besten mit SAS-Controller damit ich solche oder ähnlich DAS-Gehäuse nutzen kann.
 
killerbees19 schrieb:
Neuer Tag, kein Update (DS verwundbar…) und zur Krönung spuckt myds.synology.com noch immer fremde Logindaten aus! :mad:

Code: 
&username=*****%40gmail.com&passwd=*****&action=update_heartbeat
&username=*****%40rogers.com&passwd=*****&action=update_heartbeat
&username=*****%40126.com&passwd=*****&action=update_heartbeat

…

Daher kann ich euch nur raten: Deaktiviert alle Portweiterleitungen von extern und schaltet sofort MyDS u.ä. ab!
Ich hoffe, dass Synology alle Nutzer des MyDS-Dienestes darüber informiert, dass jeder sein Passwort ändern muss.

Für mich persönlich wird das wohl ein Schlussstrich sein. Nach so einer Aktion ohne Reaktion ist mein Vertrauen gegenüber Synology auf Null gesunken.


MfG Christian
Zum Vergrößern anklicken....

Hi,

krass der Bug besteht immernoch und spuckt munter Login sowie Passwörter raus (getestet um 12:40 Uhr). Dann lieber bis zum Fix die Seite myds.synology.com vom Netz nehmen. Ein Gutes Beispiel ist die To-Do App Wunderlist. Die haben gestern direkt nach dem Bekanntwerden bis zum Fix die Dienste gestoppt.

Verstehe nicht wieso Synology und andere Anbieter so mit einer kritischen Lücke umgehen. Bin gespannt ob Synology nach einem Fix eine Mail mit Aufforderung zum Passwortwechseln rausschickt ;)

Gruß Dave
 
Zuletzt bearbeitet:
dave82 schrieb:
...Bin gespannt ob Synology nach einem Fix eine Mail mit Aufforderung zum Passwortwechseln rausschickt ;)
Zum Vergrößern anklicken....
Ob ist eine Frage, wann die zweite... - die email mit dem Hinweis auf die Update 1 der 4.3-3827 erreichte mich auch erst mehr als eine Woche nach Bereitstellung. Bei einem Update, was unter "critical update" läuft, ist das weit weg von vorbildlich.
 
Greift auf KEINEN Fall via Syno-DynDNS auf Eure DS zu!! Ausser ihr kontrolliert JEDESMAL dass der Name noch korrekt auf Eure externe IP auflöst!!
Durch die PW/Logindaten bei synodyndns könnte man sonst ein update unterschieben und auf eine IP mit Keylogger zeigen lassen!
 
auf welche Seite?
Wer hier eine Anleitung postet wie man an die Daten kommt fliegt!
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten