News Synology stellt Patch für Heartbleed-Bug bereit

mischaef

Kassettenkind
Teammitglied
Registriert
Aug. 2012
Beiträge
6.143
Zur Behebung der als Heartbleed-Bug bekannten folgenschwere Open-SSL-Sicherheitslücke hat Synology die Aktualisierung DSM 5.0-4458 Update 2 veröffentlicht. Allen Nutzern des aktuellen DiskStation-Managers empfiehlt der Hersteller dringend, das Update einzuspielen.

Zur News: Synology stellt Patch für Heartbleed-Bug bereit
 
Das Update wurde bereits am vergangenen Donnerstag, den 10. April 2014 bereitgestellt. Das ist nun wirklich keine aktuelle News mehr!
 
Das Update vom vergangenen Donnerstag hatte aber noch Fehler und wurde daher zurückgezogen. Das jetzt eine Fehlerbereinigte Version verfügbar ist, ist durchaus eine News wert.
 
Das es ein bereinigtes Update ist habe ich nicht gewusst, das sollte man erst recht in die News aufnehmen ^^
Sonst kommt ein kommentar wie meiner zB dabei raus..xD
 
Zuletzt bearbeitet:
Was ist denn dieser Bug?

In dem verlinkten Artikel ist eien Grafik, wie der funktioniert. Die Schrift ist aber so klein, dass ich den Text vom Server im letzten Bild nicht lesen kann.

Ich habe im Büro eien Synology...
Die Daten sind recht vertraulich.

FritzBox ist ja gerade erst safe...
 
charmin schrieb:
Das Update vom vergangenen Donnerstag hatte aber noch Fehler und wurde daher zurückgezogen. Das jetzt eine Fehlerbereinigte Version verfügbar ist, ist durchaus eine News wert.

Meine DS212j läuft mit dem Update vom Donnerstag. Auch eine Aktualisierung auf eine neue Firmware-Version wird mir nicht angeboten. Scheint also für die DS212j keine neuere Version zu geben.
 
JamesFunk schrieb:
Was ist denn dieser Bug?

Der SSL Bug über den man seit einer Woche redet?!
Das Protokoll hat einen schwerwiegenden Bug!
 
charmin schrieb:
Das Update vom vergangenen Donnerstag hatte aber noch Fehler und wurde daher zurückgezogen. Das jetzt eine Fehlerbereinigte Version verfügbar ist, ist durchaus eine News wert.
"Update 2" Hat nichts mit "Update des Updates" zu tun. Synology zählt seine Minor-Updates in dieser Weise hoch. "Update 1" ist vom März. Fehlerbereinigt ist hier meiner Ansicht nach nichts.

JamesFunk schrieb:
Was ist denn dieser Bug?
Welcher Bug denn nu?

Heartbleed (was mit dem Patch von Synology behoben werden soll)? Ist der Super-GAU bezüglich der Verschlüsselung von Verbindungen im Internet. Wenn du von außerhalb auf dein NAS zugreifst (was hoffentlich verschlüsselt passiert) kann praktisch der private Serverschlüssel ausgelesen werden, was die Verschlüsselung hinfällig macht.

Der Fehler im Update von Synology trifft nur zwei Modelle oder so, die sind dann "bricked" = unbenutzbar. Synology gibt Auskauft wie man sie wieder in Gang bringt.
 
Wattebaellchen schrieb:
Der SSL Bug über den man seit einer Woche redet?!
Das Protokoll hat einen schwerwiegenden Bug!

Ja ich werde nicht schlau aus den Meldungen.

Ist das für mich gefährlich? Ich greife per https von extern auf die synology zu.

Wie das funktioniert, verstehe ich nicht bzw. finde keine richtige Erklärung.

@ Capta!nFalcon:
ich habe ein paar Mal mit meinem Bürorechner von zuhause (=kein öffentliches Netzwerk) verschlüsselt auf die synology zugegriffen.
 
Wattebaellchen schrieb:
Der SSL Bug über den man seit einer Woche redet?!
Das Protokoll hat einen schwerwiegenden Bug!

Das ist so nicht korrekt!
Es ist ein OPENSSL Bug. Nicht das Protokoll, sondern nur bestimmte Software, die OpenSSL nutzt ist davon betroffen.
Dabei ist es unter Umständen möglich die Privaten Schlüssel des SSL Zertifikats auszulesen und mit diesen kann man verschlüsselte Informationen entschlüsseln und somit mitlesen.
 
@JamesFunk

Genau das ist auch meine Frage? Warum ist das für mich kritisch? Ich verwende SSL nicht in Verbindung mit der Diskstation. :confused_alt:

Und wie komme ich zu dem Update für DSM 4.3? Seit 5.0 verfügbar ist zeigt mir der Update Manager nur mehr das Update gleich auf 5.0 an, was ich aber nicht unbedingt haben möchte.
 
JamesFunk schrieb:
Ist das für mich gefährlich? Ich greife per https von extern auf die synology zu.
...
@ Capta!nFalcon:
ich habe ein paar Mal mit meinem Bürorechner von zuhause (=kein öffentliches Netzwerk) verschlüsselt auf die synology zugegriffen.
Was nun? doch von extern oder nicht? Wenn du von extern zugreifst: Ja, verdammt gefährlich, wenn dir Verschlüsselung irgendwie wichtig ist.

Der Fehler ermöglicht es mit einer Anfrage bis zu 64kB aus dem Serverspeicher auszulesen. Dies kann beliebig oft gemacht werden. im Speicher kann alles liegen, auch entschlüsselte Passwörter und der private Schlüssel des Servers. Mit diesem kann sämtliche Kommunikation des Servers (auch rückwirkend, mit Außnahmen) enschlüsselt werden.

Ohne in Panik zu verfallen:
Da alle großen Anbieter betroffen waren, könnten viele deiner Passwörter ausgelesen worden sein.

Da auch Synology OpenSSL einsetzt, kann auch hier dein privater Schlüssel ausgelesen werden. Du solltest also ein Update machen und deinen Schlüssel tauschen. Das DSM-Update macht angeblich nur bei DS112j und RS214 Probleme: http://www.golem.de/news/synology-d...legt-einige-nas-systeme-lahm-1404-105796.html

lordZ schrieb:
@JamesFunk

Genau das ist auch meine Frage? Warum ist das für mich kritisch? Ich verwende SSL nicht in Verbindung mit der Diskstation. :confused_alt:
Wenn du nur aus dem lokalen Netz zugreifst, sehe ich keine Notwendigkeit. Aber ich würde die Kommunikation mit dem NAS selbst im lokalen Netz verschlüsseln. Mehraufwand ist ein Radiobutton anders zu setzten und einmalig ein Zertifikat zu erzeugen, was das NAS für dich fast zu 100% übernimmt... Da gibt es keine Entschuldigung.
 
Zuletzt bearbeitet:
Nutzern der DSM-Version 4.3 empfiehlt der Hersteller dringend auf die aktuelle Version 5.0 zu wechseln. Sollte dies aus bestimmten Gründen nicht möglich sein, wird Synology spätestens Ende April ein Sicherheitsupdate für die Version 4.3 ebenfalls zur Verfügung stellen

Ich will aber nicht auf DSM 5 aktualisieren, ist mir zu Klicki-Bunti und schon gar nicht mehr nachdem ich das gelesen habe:

Massive Performance Probleme nach Upgrade auf DSM 5

http://www.synology-forum.de/showthread.html?52276-Massive-Performance-Probleme-nach-Upgrade-auf-DSM-5

Dann warte ich bis Ende April.... Meine DS ist eh nicht von "außen" erreichbar.....zumind hoffe ich das :rolleyes:
 
QNAP macht es gleich richtig ;) und veröffentlicht heute mit der Version 4.0.7 ebenfalls ein Firmware Update.
 
Capta!nFalcon schrieb:
Was nun? doch von extern oder nicht? Wenn du von extern zugreifst: Ja, verdammt gefährlich, wenn dir Verschlüsselung irgendwie wichtig ist.

Ja klar von extern.
Die Synology steht im Büro. Wenn ich nicht ins Büro fahre oder Daten brauche, dann greife ich per https (WebDAV) auf die Synology zu.

Wie kann dabei aber jemand die Serverspeicehr auslesen?

Was meinst du mit privatem Schlüssel des Servers?
Mein Login, die anderen Logins, die Passwörter für die eingebundenen Laufwerke...
 
Zur Behebung der als Heartbleed-Bug bekannten folgenschwere Open-SSL-Sicherheitslücke hat Synology die Aktualisierung DSM 5.0-4458 Update 2 veröffentlicht.
Okay, es geht um die Open-SSL-Lücke "Heartbleed"

Um einem eventuellen Datenverlust vorzubeugen, sollten dabei die vom Hersteller vorgegebenen Sicherheitsanweisungen befolgt werden.

Was hat die Anweisung mit Datenverlust zu tun? Ich hätte erwartet, dass dort zu einem Backup geraten wird.
Dort bei Synology steht auch:
The below resolution is not necessary if HTTPS, VPN, and FTPS services were disabled on your DiskStation prior to installing DSM 5.0-4458.

Ist damit die generelle Aktivierung der Dienste gemeint, oder nur, wenn sie aus dem Internet erreichbar waren. Da ich ständig von nicht zertifizierten Zertifikaten genervt wurde, habe ich https abgestellt. Aus dem Internet erreiche ich mein Heimnetz via VPN der Fritzbox. Und wenn es um Heartbleed geht, warum sprechen sie VPN an? Die Diskstation hat ja drei verschiedene VPN.

Diverse Benutzer konnten nach dem Einspielen des Firmware-Updates nicht mehr auf das NAS-System zugreifen. Betroffene Anwender sollen sich an den Support von Synology wenden, der versucht, die Systeme per Remote-Zugriff wieder zugänglich zu machen und bei der Problemlösung behilflich sein kann.
Wie wollen die das machen können? Ich bin erschrocken!
 
khr schrieb:
QNAP macht es gleich richtig ;) und veröffentlicht heute mit der Version 4.0.7 ebenfalls ein Firmware Update.

Bei QNAP sind die Versionen 3.8.x und 3.7.x vom Heartbleed-Bug gar nicht betroffen, nur die 4.0.x hat es erwischt...

EDIT:
Und mal vom Heartbleed-Bug abgesehen, hat die Firmware von QNAP viel mehr Bugs und Baustellen als es Synology aktuell hat. Manche Probleme ziehen sich schon seit 3.7.x durch und wurden immer noch nicht gefixt, obwohl sie sehr störend sind. Ganz im Gegenteil, man hat aktuell den Eindruck, dass bei QNAP mit jeder neuen Firmware mehr Bugs dazu kommen. Hoffentlich beseitigt die 4.1 endlich die meisten Probleme (wobei das eher Wunschdenken bleiben wird).
 
Zuletzt bearbeitet:
websurfer83 schrieb:
Bei QNAP sind die Versionen 3.8.x und 3.7.x vom Heartbleed-Bug gar nicht betroffen, nur die 4.0.x hat es erwischt...

EDIT:
Und mal vom Heartbleed-Bug abgesehen, hat die Firmware von QNAP viel mehr Bugs und Baustellen als es Synology aktuell hat. Manche Probleme ziehen sich schon seit 3.7.x durch und wurden immer noch nicht gefixt, obwohl sie sehr störend sind. Ganz im Gegenteil, man hat aktuell den Eindruck, dass bei QNAP mit jeder neuen Firmware mehr Bugs dazu kommen. Hoffentlich beseitigt die 4.1 endlich die meisten Probleme (wobei das eher Wunschdenken bleiben wird).

Ich kann Deine Einschätzung von zunehmender Bug-Anzahl mit jeder Firmware-Version bei Qnap aus der Praxis heraus nicht bestätigen.

Gibt es hierzu nachlesbare Fakten ?
 

Ähnliche Themen

Zurück
Oben