Z-Push 2.1.1-1 - Heartbeat LibSSL Bug

Status
Für weitere Antworten geschlossen.

JERKBALL

Benutzer
Registriert
25. Sep. 2009
Beiträge
8
Reaktionspunkte
0
Punkte
0
Ich hab gerade mein Port-Forwarding auf Z-Push abgeschaltet. Durch den Heartbeat Bug in LibSSL ist der Dienst so leider nicht mehr zu verwenden.

Muss Z-Push gegen die LibSSL 1.0.1g neu kompiliert werden oder reicht das austauschen der LibSSL aufm NAS selbst aus?
 
Z-Push ist eine normale PHP Anwendung, da muss nicht kompiliert werden. Deinen Apache musst du sicher bekommen, dann ist auch Z-Push sicher.
 
Also auf Synology warten... Hab kein ipkg aufm NAS.. alles nur Pakete übern Paket-Manager...
 
http://www.synology-forum.de/showthread.html?52795-Herzblut&p=420128&viewfull=1#post420128

Daher kann ich euch nur raten: Deaktiviert alle Portweiterleitungen von extern und schaltet sofort MyDS u.ä. ab!

Zudem kann, wenn irgendein SSL-Port nach aussen offen ist, aktuell jeder z.B. Teile Eurer Mails - Logindaten - Usernames der Syno, irgendwelche Daten die gerade im Hausptspeicher der Syno sind mitlesen
Test hier: http://filippo.io/Heartbleed/

rwd0f.png
 
Zuletzt bearbeitet:
Bei nach aussen gerouteten OpenSSH-Ports ist das Problem zum Glück nicht gegeben, da sie kein TLS nutzen...

Aber bis da kein Update kam, sollte jeder seine Firewall-Regeln noch einmal überdenken...
 
Zarafa selbst könnte über Pop3s/imaps port 237 bei einer verwundbaren openssl Version angreifbar sein. Das Zarafa Paket für Synology ab Version 0.5.0 verwendet aber eine Version die nicht verwundbar sein soll.

Z-Push bzw.genauer der Apache Webserver von Synology ist wie hier schon beschrieben betroffen, aber da muss man auf ein Update von Syno warten.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat