VPN Server Sicherheitslücke (aktuell 1.2-2313)

fpo4711 · 31. Dez 2013

Hallo,

leider hat sich mit den letzten Updates Synology (aktuell 1.2-2313) nicht gerade mit Ruhm bekleckert. Hier ist leider eine Sicherheitlücke vorhanden, die mit folgendem Befehl auf der Kommandozeile geschlossen werden kann:

Rich (BBCode):

echo root=0 >> /usr/syno/etc/packages/VPNCenter/privilege

Vielen Dank an tesla563.

Gruß Frank

Anzeige · 31. Dez 2013

Hallo fpo4711,

Bücher und Hardware zum Thema gibt es bei Amazon: VPN Server Sicherheitslücke (aktuell 1.2-2313)

goetz · 31. Dez 2013

Hallo,
gibt es dazu weitere Informationen? Die Datei hat bei mir genau 0 Byte.

Gruß Götz

Frogman · 31. Dez 2013

Mmh, mich dünkt, der Drops ist ja schon 'n paar Tage alt, oder? Link

fpo4711 · 31. Dez 2013

Frogman schrieb:
Mmh, mich dünkt, der Drops ist ja schon 'n paar Tage alt, oder? Link

Tja, ich wollte das eigentlich vermeiden alle Hintergrundinformationen breit zu treten. Aber wer den Geist weckt.

Vorab die gute Nachricht. Es betrifft nicht PPTP. Hier wäre es fatal. Es betrifft nur die Authentifizierung per Radiusplugin in der OpenVPN-Implementierung. Hier ist es möglich sich per Benutzer: root und dem Passwort: synopass anzumelden. Die Lösung in #1 verhindert jegliche Anmeldung von root, da es im die Privilegien entzieht.

Gruß Frank

jahlives · 31. Dez 2013

und genau deswegen setze ich OVPN nur mit Zertifikatslogins ein

Wolfman_II · 31. Dez 2013

Das Einloggen mit den genannten Zugangsdaten hat bei mir auch ohne installierten RADIUS Dienst funktioniert. Vielen Dank für den Hinweis!!! Ich habe die Lücke sofort geschlossen.
Mal sehen wie lange Synology braucht, um diese kritische Lücke zu fixen.

Wolfman_II · 31. Dez 2013

und genau deswegen setze ich OVPN nur mit Zertifikatslogins ein

Das habe ich auch schon umsetzen wollen, bin aber an der Konfiguration gescheitert. Wie muss denn die Konfig aussehen, damit das funktioniert?
Hoffentlich unterstützt das mein Androide mit 4.3.1 das überhaupt.

Gruß
Wolle

jahlives · 31. Dez 2013

ob's mit der OVPN Version von Syno auch geht weiss ich ned. Mit der ipkg Version geht es so wie hier beschrieben: http://openvpn.net/index.php/open-source/documentation/howto.html#pki zusätzlich würde ich wärmstens auch diesen Abschnitt zur Lektüre empfehlen: http://openvpn.net/index.php/open-source/documentation/howto.html#security

fpo4711 · 31. Dez 2013

Wolfman_II schrieb:
Das Einloggen mit den genannten Zugangsdaten hat bei mir auch ohne installierten RADIUS Dienst funktioniert. Vielen Dank für den Hinweis!!! Ich habe die Lücke sofort geschlossen.
Mal sehen wie lange Synology braucht, um diese kritische Lücke zu fixen.

Die Implementierung von Synology verwendet einen eigenen Radius. Ob das Radius-Paket installiert ist dabei völlig egal.

Tja, und der Fix ist doch schon in #1 beschrieben. Für ihn aus und der Spuk ist vorbei.

Gruß Frank

Wolfman_II · 31. Dez 2013

Hallo fpo4711,

Tja, und der Fix ist doch schon in #1 beschrieben. Für ihn aus und der Spuk ist vorbei.

Lies doch nochmal meinen Post; vor allem das hinter dem Fett gedruckten.

@jahlives:
Vielen Dank für die Links; ich werde das ganze nochmal angehen.

bfpears · 06. Mrz 2014

Fix für den VPN Server scheint da zu sein.
http://www.synology.com/en-global/releaseNote/package/VPNCenter

Habe es heute erst auf der
http://web.nvd.nist.gov/view/vuln/search-results?query=synology&search_type=all&cves=on
entdeckt.

BF

PS: ich wünsche mir das Sicherheitslücken an prominenter Stelle im Forum gesammelt werden!

Suche

VPN Server Sicherheitslücke (aktuell 1.2-2313)

fpo4711

Benutzer

Anzeige

goetz

Super-Moderator

Frogman

Benutzer

fpo4711

Benutzer

jahlives

Benutzer

Wolfman_II

Benutzer

Wolfman_II

Benutzer

jahlives

Benutzer

fpo4711

Benutzer

Wolfman_II

Benutzer

bfpears

Benutzer

Kaffeautomat