Beveiligingslek in open SSL

[GerardR]

Op 8 april is er een serieus beveiligingslek ontdekt in OpenSSL. Door dit lek is het mogelijk om op eenvoudige wijze in het bezit te komen van gevoelige informatie, zoals inloggegevens, creditcard gegevens of de private keys van de gebruikte SSL Certificaten.
Het advies is om servers onmiddellijk te patchen. Mocht dit niet mogelijk zijn dan luidt het advies om SSL uit te schakelen tot dat patchen wel mogelijk is. Niets doen is een groot risico!
zie ook
https://www.sslcertificaten.nl/nieuws/Heartbleed_bug%3A_Serieus_beveiligingslek_in_OpenSSL_ontdekt

[Tim__]

Wij moeten wachten op synology voor een patch... niet?

[Briolet]

Dat ligt er aan welke versie Synology gebruikt. Als ze al OpenSSL gebruiken. De bug zit alleen de de laatste 1.01 versie die al wel 2 jaar geleden gereleased is.

Als ik op de iMac in de terminal "openssl version" opvraag, dan krijg ik versie 0.9.8y terug. Dus bij apple is men zeer terughoudend om overal de laatste versie voor je gebruiken. Ook deze 0.9.8 versie wordt nog steeds ondersteund en krijgt security updates.

Op de nas moet ik eerst in openssl om de versie te kunnen opvragen. Als ik daar 'openssl' intik, zit ik op de openssl commandline. Vervolgens gewoon het "version" command intikken geeft:

OpenSSL> version
OpenSSL 1.0.1f-fips 6 Jan 2014
OpenSSL>

Dus inderdaad de onveilige versie. Dat krijg je als je steeds het nieuwste erop wilt hebben. 

[GerardR]

Dat is wel de keuze van synology.
hopelijk zetten ze snel versie openssl 1.0.1g erop waarin de bug wordt hersteld.
tot dat moment heb ik ssl uitgeschakeld

[Hofstede]

Op Twitter heeft Synology al gemeld dat ze ASAP een patch gaan uitbrengen.

[Tim__]

En hier staat er blijkbaar al een patch?

http://ukdl.synology.com/download/criticalupdate/update_pack/4458-2/

[Birdy]

Aan de inhoud te zien, yep:

[Tim__]

Aan de inhoud te zien, yep:

Staat ondertussen al op mijn DS213+ :-D

[Tim__]

Aan de inhoud te zien, yep:

Btw Birdy, met wat open je die .pat file?

[Birdy]

Extract met 7-Zip. (niet door vertellen) 

[GerardR]

Birdy,
In het lijstje staat openssl 1.0.1f
De bug wordt hersteld met 1.0.1g
Klopt het dan wel?

[Hofstede]

Deze patch is nog niet officieel vrijgegeven, er wordt nog aan gewerkt door Synology. Niet verstandig om deze al te installeren dunkt me.

[Basalt]

  Ik heb in de router de port forwards naar mijn Syno maar even uitgeschakeld

/Erik

[Tim__]

Raar, ik heb de nog niet uitgebrachte patch geïnstalleerd en doorsta nu wel de "test".

[GerardR]

De patch is beschikbaar !

Version: 5.0-4458 Update 2

(2014/04/10)
Change Log

Fixed a critical security issue of OpenSSL (heartbleed) to prevent secret keys from being compromised. (CVE-2014-0160)
Enhanced the reliability of moving shared folders to different volumes.
Fixed a security issue causing encrypted shared folders to be mounted automatically after resetting the admin's password by pressing the reset button.
Fixed an issue causing system services and applications to possibly stop working.
Fixed an issue causing files indexing in Media Library to possibly stop working.
Fixed an issue preventing users from logging into FTP service when Personal Website was enabled and the homes shared folder was located on an ext3 volume.
Fixed an issue causing hard drives to not hibernate when SSD read-write cache was enabled.