Herzblut

[Thorndike]

Und nix bei 4.3

 

[Tommes]

Und nix bei 4.3

Gesehen hab ich auf den Downloadservern nichts, sollte imho aber noch nachgeschoben werden. Ansonsten... Support anschreiben!

Tommes

 

[Mike0185]

Habe gestern das Update-2 auch ohne Probleme bei DSM 5.0-4458-1 eingespielt. Die Lücke ist gestopft.

Nun habe ich das Problem, dass ich ein kostenloses Zertifikat von StartSSL habe. Diese bieten keinen kostenloses Austausch des Zertifikates an. Wie löst ihr das? Heise Security berichtet, dass viele Stellen derzeit einen kostenloses Austausch anbieten oder bereits Provider für die Kunden das vornehmen.

# Pech haben offenbar die Nutzer der kostenlosen StartSSL-Zertifikate des Anbieters StartCom. Für eine Neuausstellung eines durch Heartbleed kompromittierten Zertifikats verlangt das Unternehmen eine Bearbeitungsgebühr von 24,90 US-Dollar.

 

[Pablo Diablo]

Hallo Leute

Meine Syno war leider auch betroffen. Habe nun die folgenden Schritte durchgeführt:

- Das Update auf meine DS212+ geladen, nun gibt die Konsole "OpenSSL 1.0.1g-fips" aus.
- Alle Passwörter in der Syno geändert
- Neues selbst signiertes Zertifikat erstellt (über Systemsteuerung / Sicherheit / Zertifikate)
- ca.crt, clien.crt, client.key und openvpn.ovpn bzw. ios.ovpn von der Syno gezogen und auf den clients verteilt.

Der Zugriff über OpenVPN läuft.

Wars das oder muss noch mehr gemacht werden?

by the way: 1149 ist der einzige Port, der auf meinem Router offen ist. Im Verbindungsprotokoll der letzten 5 Tage sah ich nur Zugriffe die von mir selber stammen. Kann ich somit davon ausgehen, dass niemand anderes auf meiner DS war?

 

[Frogman]

... Im Verbindungsprotokoll der letzten 5 Tage sah ich nur Zugriffe die von mir selber stammen. Kann ich somit davon ausgehen, dass niemand anderes auf meiner DS war?

Das Thema ist schon gehörig älter - ich würde also eher vom Schlechtfall ausgehen.

 

[Thorndike]

Den Fehler in OpenSSL gibt es seit 2012, er ist nur in den letzten Tagen publik gemacht worden. Wie lange die Synology verwundbar war weiß wohl nur der Hersteller. Wenn du OpenVPN nach draußen geöffnet hattest und die eingesetzte Version eine verwundbare OpenSSL benutzt kann also auch vorher jemand rumspioniert haben.
Da du aber alle Kennwürter und Zertifikate geändert hast sollte zumindest nichts mehr neues passieren.

 

[Frogman]

Es gibt Neuigkeiten!

Aber Synology hält es trotz des "critical security issue of OpenSSL" nicht für nötig, dieses auch auf ihrer Security-Advisory-Seite kundzutun, dort ist man noch beim Update 1 für die 4.3 vom 18. März: http://www.synology.com/de-de/support/security . Guter Gedanke mit der Seite, miserable Umsetzung! (und gleiches resumiere ich langsam auch für die Idee mit dem Updatemechanismus - was hilft der, wenn er so schleppend, oder bzgl. der 4.3 im aktuellen Fall bisher gar nicht genutzt wird)

 

[Tommes]

Naja, ich hab ja auch nie behauptet, das ich Vorgehensweise bzgl. Informations- und Updatepolitik gut finde. Selbst wenn Synology für den OpenSSL Fehler primär erstmal nichts kann, so sollten sie sich doch zumindest in der Pflicht sehen, die Anwender zu informieren damit sie Präventivmaßnahmen ergreifen können, solange es kein Update für die Sicherheitslücke gibt. Oder hat einer von Euch eine Mail vom Support erhalten?

Tommes

 

[Pablo Diablo]

Das Thema ist schon gehörig älter - ich würde also eher vom Schlechtfall ausgehen.

Ich weiss dass die Lücke schon länger besteht. Ich meinte mit meiner Frage eher, ob ein Eindringling das Zugriffsprotokoll manipulieren konnte, so dass "seine" Session nicht mehr gelistet ist.

Wobei diese Frage vielleicht müssig ist, da ein potentieller Angreifer durch die Lücke eh mit Vollzugriff alles hätte manipulieren können, auch das Zugriffsprotokoll...

???

 

[Frogman]

Naja, ich hab ja auch nie behauptet, das ich Vorgehensweise bzgl. Informations- und Updatepolitik gut finde. ...

Sorry, das war nicht wirklich auf Dein Statement gemünzt, ich hab das nur als Aufhänger genutzt, um die schlechte Kommunikation von Synology zu kritisieren...

 

[Thorndike]

Scheinbar gab es gestern Abend gegen20.00 Uhr eine Meldung auf Facebook das es den Bug gibt und alle die sich "Sorgen machen" myId nicht benutzen sollen und alle Ports schließen.

 

[maut]

Das da noch nix Offizielles kommt von Synology find ich echt traurig.

Nur so ne Frage zum Verständnis:
Der Bug betrifft ja das Open SSL, das somit ja auch das OpenVPN kompromitiert.
Ist ein VPN über L2TP auch potentiell gefährdet?
Laut meinem Verständniss, sollte dieses doch nicht vom Heartbleed betroffen sein.
(Sorry für die blöde Frage, aber in diesem Punkt hat mein Wissen der Materie doch eine Lücke)
Aktuell habe ich jedenfalls sicherheitshalber meinen VPN-Server auf der Diskstation down.

 

[mischmaster]

Ich hab unsere Firmen DS812+ auch mit dem Update 2 vom Synology FTP Server upgedated. Läuft und hat keine Sicherheitlücke mehr!

 

[jahlives]

OpenVPN ist nur betroffen wenn es gegen OpenSSL gelinkt wurde. Gibt auch die Möglichkeit gegen PolarSSL zu linken, welches nicht anfällig ist.
Zudem ist OpenVPN nur dann kompromittiert wenn man keine TLS-Auth eingesetzt hat: https://community.openvpn.net/openvpn/wiki/heartbleed letzter Punkt auf der Seite

 

[maut]

@jahlives:
Danke fü den interessanten Link

 

[Frogman]

Scheinbar gab es gestern Abend gegen20.00 Uhr eine Meldung auf Facebook das es den Bug gibt und alle die sich "Sorgen machen" myId nicht benutzen sollen und alle Ports schließen.

Tja, und alle, die wie ich diesen Datensammler-Club nicht nutzen, bleiben also uninformiert... - meine Herren :-/

 

[jahlives]

Frage: wieso braucht man eine explizite Anleitung was zu tun ist vom Hersteller? Es gibt einen Bugreport wo recht genau steht was betroffen ist. Es ist dann Sache des Admins das umzusetzen!

 

[Frogman]

Aber wenn jetzt das Update 2 draußen ist, sollte man darüber aber doch hinreichend an den dafür eingerichteten Stellen, per email oder sonstwie aufgeklärt werden - das nur in die Release Notes zu schreiben, halte ich für halbherzig.

 

[Puppetmaster]

Frage: wieso braucht man eine explizite Anleitung was zu tun ist vom Hersteller?

Keine Anleitung... Einen Hinweis, dass etwas faul ist im Staate Dänemark!
Mindestens einmal als Privatnutzer lese ich nicht ständig die Fach-Presse und weiß überhaupt von einer Lücke.

Dann sollte Synology auch ein Wort an die eigenen Nutzer wenden, zumal, wenn sie ihren DynDNS-Service nutzen. Alles andere erachte ich schon als (grob) fahrlässig.

Achtung Autovergleich: Der Hersteller kontaktiert soweit möglich auch die bekannten Halter, wenn z.B. die Bremsanlage serienmässig defekt ist.

 

[Tommes]

Sorry, das war nicht wirklich auf Dein Statement gemünzt...

So hab ich das auch garnicht aufgefasst. Scheinbar haben wir beide bei dem Thema ein wenig überreagiert

Scheinbar gab es gestern Abend gegen20.00 Uhr eine Meldung auf Facebook...

Facebook! Braucht man das?
Muß ich jetzt tatsächlich Facebooknutzer werden um aktuelle Infos von Synology zu erhalten? Ha...

Tommes