Z-Push 2.1.1-1 - Heartbeat LibSSL Bug

JERKBALL · 08. Apr 2014

Ich hab gerade mein Port-Forwarding auf Z-Push abgeschaltet. Durch den Heartbeat Bug in LibSSL ist der Dienst so leider nicht mehr zu verwenden.

Muss Z-Push gegen die LibSSL 1.0.1g neu kompiliert werden oder reicht das austauschen der LibSSL aufm NAS selbst aus?

Anzeige · 08. Apr 2014

Hallo JERKBALL,

Bücher und Hardware zum Thema gibt es bei Amazon: Z-Push 2.1.1-1 - Heartbeat LibSSL Bug

fbartels · 08. Apr 2014

Z-Push ist eine normale PHP Anwendung, da muss nicht kompiliert werden. Deinen Apache musst du sicher bekommen, dann ist auch Z-Push sicher.

JERKBALL · 08. Apr 2014

Also auf Synology warten... Hab kein ipkg aufm NAS.. alles nur Pakete übern Paket-Manager...

gizmo21 · 09. Apr 2014

http://www.synology-forum.de/showthread.html?52795-Herzblut&p=420128&viewfull=1#post420128

Daher kann ich euch nur raten: Deaktiviert alle Portweiterleitungen von extern und schaltet sofort MyDS u.ä. ab!

Zudem kann, wenn irgendein SSL-Port nach aussen offen ist, aktuell jeder z.B. Teile Eurer Mails - Logindaten - Usernames der Syno, irgendwelche Daten die gerade im Hausptspeicher der Syno sind mitlesen
Test hier: http://filippo.io/Heartbleed/

JERKBALL · 09. Apr 2014

Bei nach aussen gerouteten OpenSSH-Ports ist das Problem zum Glück nicht gegeben, da sie kein TLS nutzen...

Aber bis da kein Update kam, sollte jeder seine Firewall-Regeln noch einmal überdenken...

Jdo2002 · 09. Apr 2014

Zarafa selbst könnte über Pop3s/imaps port 237 bei einer verwundbaren openssl Version angreifbar sein. Das Zarafa Paket für Synology ab Version 0.5.0 verwendet aber eine Version die nicht verwundbar sein soll.

Z-Push bzw.genauer der Apache Webserver von Synology ist wie hier schon beschrieben betroffen, aber da muss man auf ein Update von Syno warten.

Suche

Z-Push 2.1.1-1 - Heartbeat LibSSL Bug

JERKBALL

Benutzer

Anzeige

fbartels

Benutzer

JERKBALL

Benutzer

gizmo21

Benutzer

JERKBALL

Benutzer

Jdo2002

Benutzer

Kaffeautomat