Toggle sidebar

Wichtiger Patch für openssl

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
jahlives

jahlives

Benutzer
Registriert
19. Aug. 2008
Beiträge
18.275
Reaktionspunkte
4
Punkte
0
Diesen Donnerstag (9. Juli) wird es einen Patch für openssl geben, welcher eine Lücke schliesst, die mit Level HIGH taxiert ist. Genauere Details gibt es aktuell noch nicht, damit die Hersteller gefixte openssl Versionen in ihren Repositories anbieten können. Es ist sehr selten, dass openssl eine solche Vorankündigung macht. Daher kann man davon ausgehen, dass es eine massive Lücke sein dürfte, die sich einfach ausnutzen lässt. Wer weiss vielleicht Heartbleed Teil 2 ;)
Betroffen sind die Versionen 1.0.1 und 1.0.2, ältere Versionen wie 0.9.8 und 1.0.0 sind scheinbar nicht betroffen

https://mta.openssl.org/pipermail/openssl-announce/2015-July/000037.html
 
Zuletzt bearbeitet:
jahlives schrieb:
...Betroffen sind die Versionen 1.0.1d und 1.0.2p, ältere Versionen wie 0.9.8 und 1.0.0 sind scheinbar nicht betroffen
Zum Vergrößern anklicken....
Bevor hier Irritationen aufkommen: betroffen sind die aktuellen Versionen 1.0.2c sowie 1.0.1o. Behoben wird die Lücke mit den angekündigten Versionen 1.0.2d und 1.0.1p.
 
ups mein Bock, zu schnell gelesen. Danke für die Korrektur
 
Die Hitze... :D PS: Und für Interessierte: ja, die DS ist davon betroffen... die aktuelle DSM5.2-5592 beinhaltet die openSSL 1.0.1o.
 
Zuletzt bearbeitet:
Und um es noch etwas transparenter zu machen - auch für Leute mit älteren DSM-Versionen: Auf Basis des Wiki-Beitrags "Versionsnummern der installierten Programme" ist die letzte DSM-Version mit openSSL 1.0.0 DSM 4.0 gewesen. Insofern wird es spannend sein, ob es Updates für DSM 4.2, 4.3 und 5.0 geben wird.
 
dil88 schrieb:
DSM-Version mit openSSL 1.0.0 DSM 4.0 gewesen.
Zum Vergrößern anklicken....

Hmm, das sieht bei mir anders aus :)
DSM 4.0

DS110j> openssl version
OpenSSL 0.9.8v 19 Apr 2012
DS110j>

DSM 4.3

DiskStation> openssl version
OpenSSL 1.0.1i-fips 6 Aug 2014
DiskStation>
 
Heißt aber immer noch, dass die 4.0 möglicherweise nicht die Lücke aufweist, über die hier gesprochen wird. Laut dem Wiki-Beitrag ist ab DSM 4.1 beta openSSL 1.0.1 in Verwendung.
 
Wie ja schon in Meldungen genannt - die Versionen aller Zweige bis einschließlich 1.0.0x (und damit auch die 0.9.8x) sind wohl nicht betroffen, die 1.0.1o und 1.0.2c (und vermutlich auch ihre Vorgänger im gleichen Zweig) sind betroffen.
 
ich würde bei den älteren Versionen nicht zu schnell Entwarnung geben :) Sobald Details zur Lücke draussen sind werden bestimmt wieder intensive Tests auch bei den älteren Versionen gefahren. Wer weiss ob dann die Lücke nicht ein bisschen abgewandelt auch in den älteren Versionen steck :D
 
Könnte ich mir auch vorstellen. Ich sehe schon kommen, dass ich mich nun doch auf ein Update konkreter vorbereiten muss ...
 
Scheinbar nicht so tragisch: https://www.openssl.org/news/secadv_20150709.txt
Betrifft wohl am ehesten die Clients, welche die Verbindung aufbauen. Eine Gefahr für den Server durch einen Client kann ich darin nicht sehen. Ausser sie verwenden eine zertifikatsbasierte Authentifizierung
This issue will impact any application that verifies certificates including
SSL/TLS/DTLS clients and SSL/TLS/DTLS servers using client authentication.
Zum Vergrößern anklicken....
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten