Toggle sidebar

VPN Server Sicherheitslücke (aktuell 1.2-2313)

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
fpo4711

fpo4711

Benutzer
Registriert
26. Mai 2010
Beiträge
2.772
Reaktionspunkte
1
Punkte
0
Hallo,

leider hat sich mit den letzten Updates Synology (aktuell 1.2-2313) nicht gerade mit Ruhm bekleckert. Hier ist leider eine Sicherheitlücke vorhanden, die mit folgendem Befehl auf der Kommandozeile geschlossen werden kann:
Rich (BBCode): 
echo root=0 >> /usr/syno/etc/packages/VPNCenter/privilege

Vielen Dank an tesla563.

Gruß Frank
 
Hallo,
gibt es dazu weitere Informationen? Die Datei hat bei mir genau 0 Byte.

Gruß Götz
 
Mmh, mich dünkt, der Drops ist ja schon 'n paar Tage alt, oder? Link
 
Frogman schrieb:
Mmh, mich dünkt, der Drops ist ja schon 'n paar Tage alt, oder? Link
Zum Vergrößern anklicken....

Tja, ich wollte das eigentlich vermeiden alle Hintergrundinformationen breit zu treten. Aber wer den Geist weckt.

Vorab die gute Nachricht. Es betrifft nicht PPTP. Hier wäre es fatal. Es betrifft nur die Authentifizierung per Radiusplugin in der OpenVPN-Implementierung. Hier ist es möglich sich per Benutzer: root und dem Passwort: synopass anzumelden. Die Lösung in #1 verhindert jegliche Anmeldung von root, da es im die Privilegien entzieht.

Gruß Frank
 
und genau deswegen setze ich OVPN nur mit Zertifikatslogins ein :-)
 
Das Einloggen mit den genannten Zugangsdaten hat bei mir auch ohne installierten RADIUS Dienst funktioniert. Vielen Dank für den Hinweis!!! Ich habe die Lücke sofort geschlossen.
Mal sehen wie lange Synology braucht, um diese kritische Lücke zu fixen. :rolleyes:
 
und genau deswegen setze ich OVPN nur mit Zertifikatslogins ein :-)
Zum Vergrößern anklicken....

Das habe ich auch schon umsetzen wollen, bin aber an der Konfiguration gescheitert. Wie muss denn die Konfig aussehen, damit das funktioniert?
Hoffentlich unterstützt das mein Androide mit 4.3.1 das überhaupt.

Gruß
Wolle
 
Wolfman_II schrieb:
Das Einloggen mit den genannten Zugangsdaten hat bei mir auch ohne installierten RADIUS Dienst funktioniert. Vielen Dank für den Hinweis!!! Ich habe die Lücke sofort geschlossen.
Mal sehen wie lange Synology braucht, um diese kritische Lücke zu fixen. :rolleyes:
Zum Vergrößern anklicken....

Die Implementierung von Synology verwendet einen eigenen Radius. Ob das Radius-Paket installiert ist dabei völlig egal.

Tja, und der Fix ist doch schon in #1 beschrieben. Für ihn aus und der Spuk ist vorbei.

Gruß Frank
 
Hallo fpo4711,

Tja, und der Fix ist doch schon in #1 beschrieben. Für ihn aus und der Spuk ist vorbei.
Zum Vergrößern anklicken....

Lies doch nochmal meinen Post; vor allem das hinter dem Fett gedruckten. :p


@jahlives:
Vielen Dank für die Links; ich werde das ganze nochmal angehen.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten