Z-Push 2.1.1-1 - Heartbeat LibSSL Bug

[JERKBALL]

Ich hab gerade mein Port-Forwarding auf Z-Push abgeschaltet. Durch den Heartbeat Bug in LibSSL ist der Dienst so leider nicht mehr zu verwenden.

Muss Z-Push gegen die LibSSL 1.0.1g neu kompiliert werden oder reicht das austauschen der LibSSL aufm NAS selbst aus?

 

[fbartels]

Z-Push ist eine normale PHP Anwendung, da muss nicht kompiliert werden. Deinen Apache musst du sicher bekommen, dann ist auch Z-Push sicher.

 

[JERKBALL]

Also auf Synology warten... Hab kein ipkg aufm NAS.. alles nur Pakete übern Paket-Manager...

 

[gizmo21]

http://www.synology-forum.de/showthread.html?52795-Herzblut&p=420128&viewfull=1#post420128

Daher kann ich euch nur raten: Deaktiviert alle Portweiterleitungen von extern und schaltet sofort MyDS u.ä. ab!

Zudem kann, wenn irgendein SSL-Port nach aussen offen ist, aktuell jeder z.B. Teile Eurer Mails - Logindaten - Usernames der Syno, irgendwelche Daten die gerade im Hausptspeicher der Syno sind mitlesen
Test hier: http://filippo.io/Heartbleed/

 

[JERKBALL]

Bei nach aussen gerouteten OpenSSH-Ports ist das Problem zum Glück nicht gegeben, da sie kein TLS nutzen...

Aber bis da kein Update kam, sollte jeder seine Firewall-Regeln noch einmal überdenken...

 

[Jdo2002]

Zarafa selbst könnte über Pop3s/imaps port 237 bei einer verwundbaren openssl Version angreifbar sein. Das Zarafa Paket für Synology ab Version 0.5.0 verwendet aber eine Version die nicht verwundbar sein soll.

Z-Push bzw.genauer der Apache Webserver von Synology ist wie hier schon beschrieben betroffen, aber da muss man auf ein Update von Syno warten.