Herzblut

Status
Für weitere Antworten geschlossen.

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Irgendwelche Neuigkeiten zu nem 4.3 Update?


---
btw. hier gibt' s noch ne Anleitung die angeblich die bricked ds112j von fehlgeschlagenem 5.0 Update2 wieder fit macht: https://www.facebook.com/synology/https://www.facebook.com/synology/ ....
jo, Facebook rettet die Synology-Welt :D

Hast Du mal da 'reingeschaut, was dort verteilt wird? Das ist lediglich die Übersetzung der Anleitung, wie sie picture4it und bernhardms hier im Forum erarbeitet haben (und die dann später auch ins offizielle Forum eingezogen ist...). Nachzulesen ab hier ff.

Und nein - es gibt noch keine Neuigkeiten vom DSM-4.3. Zumal ja nach den offiziellen Verlautbarungen zunächst 4.2 'dran ist...
 

süno42

Benutzer
Mitglied seit
29. Nov 2012
Beiträge
224
Punkte für Reaktionen
0
Punkte
0
was man nicht vergessen sollte: es braucht nicht unbedingt offene Ports ;-) Ein einfaches wget https:// nach aussen würde reichen wenn der Server auf der Gegenseite ein Heartbeat durchschickt

Ganz so dramatisch ist es für Clients nicht, denn diese müssen zunächst signalisieren, daß Sie Heartbeat-Requests empfangen möchten. Weiterhin ist es hier oftmals nicht möglich, eine privaten Schlüssel des Endpunkts abzugreifen, da die Client-Authentifizierung im Normal keine Anwendung findet und der betroffene Prozeß keinen privaten Schlüssel in seinem privaten Speicher benötigt. Es kann höchstens der ohnehin bekannte Sitzungsschlüssel beziehungsweise andere Daten des Prozesses abgegriffen werden.

Kritisch wird es, wenn ein und derselbe Client mehrere Verbindungen zu unterschiedlichen Endpunkten unterhält (beziehungsweise ein paar weitere theoretische Anwendungsfälle), hier könnte dann ein Server Sitzungsschlüssel einer anderen Verbindung abgreifen, sofern der Client Heartbeat-Requests beantwortet.

Bei „wget“ ist das ganze eher unwahrscheinlich.


Viele Grüße
Süno42
 

bfpears

Benutzer
Mitglied seit
09. Feb 2009
Beiträge
449
Punkte für Reaktionen
29
Punkte
28

ravwerner

Benutzer
Mitglied seit
03. Mrz 2011
Beiträge
128
Punkte für Reaktionen
0
Punkte
16
Hi,
eigentlich versteh ich Synology nicht, die 4.2er ist doch scheinbar gar nicht betroffen, da da noch ein alter Code für ssl verwendet wurde, zumindest hab ich das herausgelesen - und die anfällige 4.3 er Version kommt danach dran?
Grüsse Werner
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Hi,
eigentlich versteh ich Synology nicht, die 4.2er ist doch scheinbar gar nicht betroffen, da da noch ein alter Code für ssl verwendet wurde, ...
Nein, nicht wirklich - ab der DSM-4.1 ist die OpenSSL-1.0.1c in Verwendung, die von Heartbleed betroffen ist. Nur die DSM-4.0 verwendet noch nicht betroffenen Code aus OpenSSL-1.0.0.
Die DSM-4.1-User fordert Synology auf, mindestens auf DSM-4.2 upzudaten, für den der Patch geliefert werden soll.
 

ravwerner

Benutzer
Mitglied seit
03. Mrz 2011
Beiträge
128
Punkte für Reaktionen
0
Punkte
16
Guten Morgen
Aha, danke dann hab ich da was falsch gelesen. Bei uns in Österreich ist es überhaupt einfach: Presseartikel :)
Schadenersatz
----------------
Der Datenrechtler weist darauf hin, dass es eine Pflicht zur unverzüglichen Beseitigung der Lücke gebe. Im konkreten Fall sei die Schwachstelle relativ einfach zu beheben, daher müsse sie eigentliche auch innerhalb eines Tages geschlossen werden. Demnach hätte es bereits seit 9. April keine Server mit dieser Lücke mehr in Österreich geben dürfen, so Zeger. Betreibern, die nicht unverzüglich reagieren, drohten Schadenersatz und Verwaltungsstrafen.
----------------
.... relativ einfach ??? .. so stellt sich in Ö der Datenrechtler die Welt vor.
Grüsse
Werner
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
9.011
Punkte für Reaktionen
1.208
Punkte
308
Hmm, nun Frage zu Revocation.

Klar wenn ich Schlüssel mit CA in Linux selber mache etc kann ich damit auch den Revoc Cert machen.

Aber wie macht man mit den Selfsigned, die man einfach in Synology auf Knopfdruck erstellt hat einen Revocation Cert?
Wie macht ihr das in Praxis?

Und tut ihr die Revoc dann an die Rechner verteilen die mit der Site verbinden sollen? Oder lässt man es einfach sein?
 

Thorndike

Benutzer
Mitglied seit
22. Sep 2010
Beiträge
742
Punkte für Reaktionen
4
Punkte
38
Nachdem ich irgendwo im englischen Fprum gelesen habe das sich der Update für die 4.3 bis Ende des Monats hinziehen soll und der Update 2 für die 112j jetzt keinen Ziegelstein mehr erzeugt habe ich einen Update auf die 5.0 gewagt. Mann sieht das jetzt alles Sch... aus und laufen tut auch nur die Hälfte. Also mit DSM 5 hat sich Synology aus meiner Sicht das Grab geschaufelt.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
... Betreibern, die nicht unverzüglich reagieren, drohten Schadenersatz und Verwaltungsstrafen.
----------------
Tja, den Schaden zumindest müsste der Betreffende nachweisen - was in diesem Fall schwierig wäre, wenn nicht mal Spuren zurückgelassen werden, dass überhaupt jemand Heartbleed genutzt hat.
 

gizmo21

Benutzer
Mitglied seit
16. Jul 2012
Beiträge
120
Punkte für Reaktionen
17
Punkte
18
Auch wenn es jetzt paranoid klingt, wäre es vielleicht sogar sinnvoll die Skype... Messaging Funktion (https://www.synology.com/de-de/support/tutorials/477) zu deaktiveren? Ka ob das mit SSL connected und dann auch noch openssl nimmt (muss doch mal in die Konsole gehen und ein bisschen den traffic überwachen).

Also für die noch auf 4.2, 4.3 warten.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Da steht der Name 'Synology' ja auch heute wieder prominent im Scheinwerferlicht...
 

gizmo21

Benutzer
Mitglied seit
16. Jul 2012
Beiträge
120
Punkte für Reaktionen
17
Punkte
18
Das Update 2 für DSM 4.2-3248 hat Synology heute veröffentlicht:
entnommen hier: http://www.heise.de/security/news/f...-2-verfuegbar/forum-278179/msg-25090175/read/
http://www.synology.com/de-de/support/security_hotfix_dsm_4_2_3248

DSM 4.2-3248 Update 2 addresses vulnerability below:

A vulnerability to allow remote attackers to obtain sensitive
information from process memory. (CVE-2014-0160)

Dann fehlt da http://www.synology.com/de-de/support/security nur noch 4.3 :)

Dort steht nun auch zum ersten mal, dass nicht nur die myds Passwörter geändert werden sollen, sondern zurecht auch alle in der Syno selbst:

As a precaution, you can change your DSM passwords, even if there is no evidence that your data was accessed using this vulnerability.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Das Update 2 für DSM 4.2-3248 hat Synology heute veröffentlicht:
...
Aber hier finden sich (bisher jedenfalls) nur DSM-Files für eine kleine Handvoll DS-Modelle aus der x09er-Serie (DS109x, DS209x, DSM409x, DSM509+, RS409x) ...
Die Benutzer bspw. der 4.2-3211 für aktuellere DS-Modelle haben nix.
 

ravwerner

Benutzer
Mitglied seit
03. Mrz 2011
Beiträge
128
Punkte für Reaktionen
0
Punkte
16
Hi,
stimmt, das ist nur für die 09er Generation - wart ma halt weiter :-(
Werner grüsst
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Hi,
stimmt, das ist nur für die 09er Generation - wart ma halt weiter :-(
Das Problem der 09er-Serie ist, dass diese kein 5.0 bekommen haben und zwangsweise auf 4.3 festhängen. Ich persönlich finde es daher nicht falsch diese Updates besonders zügig bereitzustellen.

MfG Matthieu
 

ravwerner

Benutzer
Mitglied seit
03. Mrz 2011
Beiträge
128
Punkte für Reaktionen
0
Punkte
16
Servus,

Ja, hast schon recht, ich meinte es auch nicht abwertend und versteh auch die Problematik. Es geht da eher um die allgemeine Enttäuschung, dass da die Bugs nicht rascher ausgemerzt werden - egal von welcher Version.
Das ist halt ein Armutszeugnis von Synology, geschweige denn die Wochenendgeschicht mit toten Synos und dem Hersteller war es scheinbar nicht mal eine Stellungnahme wert und dass user deren Fehler ausmerzen müssen.....
Nix für ungut.
Grüsse Werner
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Ich kann den Frust verstehen und wollte das auch nicht relativieren - freue mich aber als Besitzer einer 209+II sehr über den doch zügigen Bugfix (nachdem erst vorsichtig von "Ende des Monats" gesprochen wurde).
In Bezug auf die toten Synos hat Synology an die Presse eine entsprechende Stellungnahme geschickt (hab ich im Nachhinein erfahren), die aber bei vielen nicht oder nur sehr spät in die Artikel eingefügt wurde.

MfG Matthieu
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Ich kann den Frust verstehen und wollte das auch nicht relativieren - freue mich aber als Besitzer einer 209+II sehr über den doch zügigen Bugfix (nachdem erst vorsichtig von "Ende des Monats" gesprochen wurde).
In Bezug auf die toten Synos hat Synology an die Presse eine entsprechende Stellungnahme geschickt (hab ich im Nachhinein erfahren), die aber bei vielen nicht oder nur sehr spät in die Artikel eingefügt wurde.
Bei der Berücksichtigung für die "alten" Synos stimme ich Dir voll zu, den finde ich auch gut - da hätten anderen vielleicht nur auf den ausgelaufenen Support verwiesen, gerade unter dem Zeitdruck. Wobei die 4.2er-Lösung ja auch innerhalb einer Woche angekündigt war, die 4.3er-Lösung soll dann erst Ende April kommen. Schauen wir mal...
Was dagegen wirklich daneben war: die User auffordern, ihre DS auf Port 23 aufzumachen, um dann allen Ernstes ins Wochenende zu gehen, wie es irgendwo auch in einem Statement zugegeben wurde.
 

TheTwist76

Benutzer
Mitglied seit
21. Apr 2013
Beiträge
227
Punkte für Reaktionen
3
Punkte
18
Hi,

Dort steht nun auch zum ersten mal, dass nicht nur die myds Passwörter geändert werden sollen, sondern zurecht auch alle in der Syno selbst:

ich wurde per Mail von Synology informiert dieses zu tun allerdings schon vor 3-4 Tagen.

Viele Grüße
TS
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat