Toggle sidebar

Herzblut

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
Habe gestern das Update-2 auch ohne Probleme bei DSM 5.0-4458-1 eingespielt. Die Lücke ist gestopft.

Nun habe ich das Problem, dass ich ein kostenloses Zertifikat von StartSSL habe. Diese bieten keinen kostenloses Austausch des Zertifikates an. Wie löst ihr das? Heise Security berichtet, dass viele Stellen derzeit einen kostenloses Austausch anbieten oder bereits Provider für die Kunden das vornehmen.

# Pech haben offenbar die Nutzer der kostenlosen StartSSL-Zertifikate des Anbieters StartCom. Für eine Neuausstellung eines durch Heartbleed kompromittierten Zertifikats verlangt das Unternehmen eine Bearbeitungsgebühr von 24,90 US-Dollar.
Zum Vergrößern anklicken....
 
Hallo Leute

Meine Syno war leider auch betroffen. Habe nun die folgenden Schritte durchgeführt:

- Das Update auf meine DS212+ geladen, nun gibt die Konsole "OpenSSL 1.0.1g-fips" aus.
- Alle Passwörter in der Syno geändert
- Neues selbst signiertes Zertifikat erstellt (über Systemsteuerung / Sicherheit / Zertifikate)
- ca.crt, clien.crt, client.key und openvpn.ovpn bzw. ios.ovpn von der Syno gezogen und auf den clients verteilt.

Der Zugriff über OpenVPN läuft.

Wars das oder muss noch mehr gemacht werden?

by the way: 1149 ist der einzige Port, der auf meinem Router offen ist. Im Verbindungsprotokoll der letzten 5 Tage sah ich nur Zugriffe die von mir selber stammen. Kann ich somit davon ausgehen, dass niemand anderes auf meiner DS war?
 
Pablo Diablo schrieb:
... Im Verbindungsprotokoll der letzten 5 Tage sah ich nur Zugriffe die von mir selber stammen. Kann ich somit davon ausgehen, dass niemand anderes auf meiner DS war?
Zum Vergrößern anklicken....
Das Thema ist schon gehörig älter - ich würde also eher vom Schlechtfall ausgehen.
 
Den Fehler in OpenSSL gibt es seit 2012, er ist nur in den letzten Tagen publik gemacht worden. Wie lange die Synology verwundbar war weiß wohl nur der Hersteller. Wenn du OpenVPN nach draußen geöffnet hattest und die eingesetzte Version eine verwundbare OpenSSL benutzt kann also auch vorher jemand rumspioniert haben.
Da du aber alle Kennwürter und Zertifikate geändert hast sollte zumindest nichts mehr neues passieren.
 
Tommes schrieb:
Es gibt Neuigkeiten!
Zum Vergrößern anklicken....
Aber Synology hält es trotz des "critical security issue of OpenSSL" nicht für nötig, dieses auch auf ihrer Security-Advisory-Seite kundzutun, dort ist man noch beim Update 1 für die 4.3 vom 18. März: http://www.synology.com/de-de/support/security . Guter Gedanke mit der Seite, miserable Umsetzung! (und gleiches resumiere ich langsam auch für die Idee mit dem Updatemechanismus - was hilft der, wenn er so schleppend, oder bzgl. der 4.3 im aktuellen Fall bisher gar nicht genutzt wird)
 
Naja, ich hab ja auch nie behauptet, das ich Vorgehensweise bzgl. Informations- und Updatepolitik gut finde. Selbst wenn Synology für den OpenSSL Fehler primär erstmal nichts kann, so sollten sie sich doch zumindest in der Pflicht sehen, die Anwender zu informieren damit sie Präventivmaßnahmen ergreifen können, solange es kein Update für die Sicherheitslücke gibt. Oder hat einer von Euch eine Mail vom Support erhalten?

Tommes
 
Frogman schrieb:
Das Thema ist schon gehörig älter - ich würde also eher vom Schlechtfall ausgehen.
Zum Vergrößern anklicken....

Ich weiss dass die Lücke schon länger besteht. Ich meinte mit meiner Frage eher, ob ein Eindringling das Zugriffsprotokoll manipulieren konnte, so dass "seine" Session nicht mehr gelistet ist.

Wobei diese Frage vielleicht müssig ist, da ein potentieller Angreifer durch die Lücke eh mit Vollzugriff alles hätte manipulieren können, auch das Zugriffsprotokoll...

???
 
Tommes schrieb:
Naja, ich hab ja auch nie behauptet, das ich Vorgehensweise bzgl. Informations- und Updatepolitik gut finde. ...
Zum Vergrößern anklicken....
Sorry, das war nicht wirklich auf Dein Statement gemünzt, ich hab das nur als Aufhänger genutzt, um die schlechte Kommunikation von Synology zu kritisieren... :)
 
Scheinbar gab es gestern Abend gegen20.00 Uhr eine Meldung auf Facebook das es den Bug gibt und alle die sich "Sorgen machen" myId nicht benutzen sollen und alle Ports schließen.
 
Das da noch nix Offizielles kommt von Synology find ich echt traurig.

Nur so ne Frage zum Verständnis:
Der Bug betrifft ja das Open SSL, das somit ja auch das OpenVPN kompromitiert.
Ist ein VPN über L2TP auch potentiell gefährdet?
Laut meinem Verständniss, sollte dieses doch nicht vom Heartbleed betroffen sein.
(Sorry für die blöde Frage, aber in diesem Punkt hat mein Wissen der Materie doch eine Lücke)
Aktuell habe ich jedenfalls sicherheitshalber meinen VPN-Server auf der Diskstation down.
 
Ich hab unsere Firmen DS812+ auch mit dem Update 2 vom Synology FTP Server upgedated. Läuft und hat keine Sicherheitlücke mehr!
 
OpenVPN ist nur betroffen wenn es gegen OpenSSL gelinkt wurde. Gibt auch die Möglichkeit gegen PolarSSL zu linken, welches nicht anfällig ist.
Zudem ist OpenVPN nur dann kompromittiert wenn man keine TLS-Auth eingesetzt hat: https://community.openvpn.net/openvpn/wiki/heartbleed letzter Punkt auf der Seite
 
Thorndike schrieb:
Scheinbar gab es gestern Abend gegen20.00 Uhr eine Meldung auf Facebook das es den Bug gibt und alle die sich "Sorgen machen" myId nicht benutzen sollen und alle Ports schließen.
Zum Vergrößern anklicken....
Tja, und alle, die wie ich diesen Datensammler-Club nicht nutzen, bleiben also uninformiert... - meine Herren :-/
 
Frage: wieso braucht man eine explizite Anleitung was zu tun ist vom Hersteller? Es gibt einen Bugreport wo recht genau steht was betroffen ist. Es ist dann Sache des Admins das umzusetzen!
 
Aber wenn jetzt das Update 2 draußen ist, sollte man darüber aber doch hinreichend an den dafür eingerichteten Stellen, per email oder sonstwie aufgeklärt werden - das nur in die Release Notes zu schreiben, halte ich für halbherzig.
 
jahlives schrieb:
Frage: wieso braucht man eine explizite Anleitung was zu tun ist vom Hersteller?
Zum Vergrößern anklicken....

Keine Anleitung... Einen Hinweis, dass etwas faul ist im Staate Dänemark!
Mindestens einmal als Privatnutzer lese ich nicht ständig die Fach-Presse und weiß überhaupt von einer Lücke.

Dann sollte Synology auch ein Wort an die eigenen Nutzer wenden, zumal, wenn sie ihren DynDNS-Service nutzen. Alles andere erachte ich schon als (grob) fahrlässig.

Achtung Autovergleich: Der Hersteller kontaktiert soweit möglich auch die bekannten Halter, wenn z.B. die Bremsanlage serienmässig defekt ist.
 
Frogman schrieb:
Sorry, das war nicht wirklich auf Dein Statement gemünzt...
Zum Vergrößern anklicken....
So hab ich das auch garnicht aufgefasst. Scheinbar haben wir beide bei dem Thema ein wenig überreagiert :D

Thorndike schrieb:
Scheinbar gab es gestern Abend gegen20.00 Uhr eine Meldung auf Facebook...
Zum Vergrößern anklicken....
Facebook! Braucht man das?
Muß ich jetzt tatsächlich Facebooknutzer werden um aktuelle Infos von Synology zu erhalten? Ha...

Tommes
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten