Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: GerardR op 09 april 2014, 15:50:20
-
Op 8 april is er een serieus beveiligingslek ontdekt in OpenSSL. Door dit lek is het mogelijk om op eenvoudige wijze in het bezit te komen van gevoelige informatie, zoals inloggegevens, creditcard gegevens of de private keys van de gebruikte SSL Certificaten.
Het advies is om servers onmiddellijk te patchen. Mocht dit niet mogelijk zijn dan luidt het advies om SSL uit te schakelen tot dat patchen wel mogelijk is. Niets doen is een groot risico!
zie ook
https://www.sslcertificaten.nl/nieuws/Heartbleed_bug%3A_Serieus_beveiligingslek_in_OpenSSL_ontdekt
-
Wij moeten wachten op synology voor een patch... niet?
-
Dat ligt er aan welke versie Synology gebruikt. Als ze al OpenSSL gebruiken. De bug zit alleen de de laatste 1.01 versie die al wel 2 jaar geleden gereleased is.
Als ik op de iMac in de terminal "openssl version" opvraag, dan krijg ik versie 0.9.8y terug. Dus bij apple is men zeer terughoudend om overal de laatste versie voor je gebruiken. Ook deze 0.9.8 versie wordt nog steeds ondersteund en krijgt security updates.
Op de nas moet ik eerst in openssl om de versie te kunnen opvragen. Als ik daar 'openssl' intik, zit ik op de openssl commandline. Vervolgens gewoon het "version" command intikken geeft:
OpenSSL> version
OpenSSL 1.0.1f-fips 6 Jan 2014
OpenSSL>
Dus inderdaad de onveilige versie. Dat krijg je als je steeds het nieuwste erop wilt hebben. :lol:
-
Dat is wel de keuze van synology.
hopelijk zetten ze snel versie openssl 1.0.1g erop waarin de bug wordt hersteld.
tot dat moment heb ik ssl uitgeschakeld
-
Op Twitter heeft Synology al gemeld dat ze ASAP een patch gaan uitbrengen.
-
En hier staat er blijkbaar al een patch?
http://ukdl.synology.com/download/criticalupdate/update_pack/4458-2/
-
Aan de inhoud te zien, yep:
[attachimg=1]
-
Aan de inhoud te zien, yep:
Staat ondertussen al op mijn DS213+ :-D
-
Aan de inhoud te zien, yep:
Btw Birdy, met wat open je die .pat file?
-
Extract met 7-Zip. (niet door vertellen) ;)
-
Birdy,
In het lijstje staat openssl 1.0.1f
De bug wordt hersteld met 1.0.1g
Klopt het dan wel?
-
Deze patch is nog niet officieel vrijgegeven, er wordt nog aan gewerkt door Synology. Niet verstandig om deze al te installeren dunkt me.
-
:o Ik heb in de router de port forwards naar mijn Syno maar even uitgeschakeld
/Erik
-
Raar, ik heb de nog niet uitgebrachte patch geïnstalleerd en doorsta nu wel de "test".
-
De patch is beschikbaar !
Version: 5.0-4458 Update 2
(2014/04/10)
Change Log
Fixed a critical security issue of OpenSSL (heartbleed) to prevent secret keys from being compromised. (CVE-2014-0160)
Enhanced the reliability of moving shared folders to different volumes.
Fixed a security issue causing encrypted shared folders to be mounted automatically after resetting the admin's password by pressing the reset button.
Fixed an issue causing system services and applications to possibly stop working.
Fixed an issue causing files indexing in Media Library to possibly stop working.
Fixed an issue preventing users from logging into FTP service when Personal Website was enabled and the homes shared folder was located on an ext3 volume.
Fixed an issue causing hard drives to not hibernate when SSD read-write cache was enabled.
-
De patch is beschikbaar !
Nog niet helemaal. Ik zie dezelfde releasenotes, maar als ik de .pat-file wil installeren krijg ik dat deze ouder is als het systeem. Dus de link naar de goede patfile staat er nog niet.
Dus maar rustig afwachten totdat dsm zelf aangeeft dat er een update is. Tegenwoordig krijg ik een mailje als de update klaar staat. Dat zal toch ergens in de loop van de dag zijn.
En dan direct een nieuw certificaat aanmaken. Die van mij verliep toch al in mei dus ik haal het alleen 1 maand naar voren.
-
Mijn DS212 en DS1813 gaven vanmorgen zelf aan dat de patch er was. Voor DSM 4.x is hij er nog niet volgens mij.
-
(https://www.synology-forum.nl/proxy.php?request=http%3A%2F%2Fimgs.xkcd.com%2Fcomics%2Fheartbleed.png&hash=c96f6c5c9a8f48eab74dfb3be9fe6e9fe8c97c4d)
bron: xkcd (http://xkcd.com/1353/)
-
Ik heb er geen verstand van, maar wordt wel een beetje zenuwachtig van 'Heartbleed'... ::)
Hoe zit dat met mijn 'oude' Synology DS107+ met DSM 3.1-1638 (De laatste fw-versie)? Loopt die ook een risico? Ik neem niet aan dat er voor deze nas nog nieuwe firmware release wordt uitgebracht?
-
Die NAS is niet in gevaar omdat de in die firmware gebruikte versie van OpenSSL ouder is en niet het lek bevat.
-
Ook voor DSM 4.0 is de patch beschikbaar.
- Fixed a security issue related to OpenSSL (CVE-2013-4353).
- Fixed security issues by upgrading PHP to version 5.3.28 (CVE-2013-4073, CVE-2013-6420).
- Fixed an issue where CalDAV clients cannot get data from CalDAV server.
-
@Hofstede: Soms is stilstand blijkbaar toch wel eens vooruitgang... ::)
-
Ook voor DSM 4.0 is de patch beschikbaar.
- Fixed a security issue related to OpenSSL (CVE-2013-4353).
- Fixed security issues by upgrading PHP to version 5.3.28 (CVE-2013-4073, CVE-2013-6420).
- Fixed an issue where CalDAV clients cannot get data from CalDAV server.
My bad. Ik postte bovenstaande op tweakers en een scherpe lezer wees me op het feit dat deze fix NIET voor de heartbleed-bug is.... maar dat er wel wordt gewerkt aan fixes voor DSM's ouder dan 5.0...
-
Voor zover nog niet bekend ::) https://www.ssllabs.com/ssltest/index.html (https://www.ssllabs.com/ssltest/index.html)
-
Ook voor zover nog niet bekend ;) :
http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/#:eyJzIjoiZyIsImkiOiJfeTR2YzRlcnJuMHR0ZGhicSJ9 (http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/#:eyJzIjoiZyIsImkiOiJfeTR2YzRlcnJuMHR0ZGhicSJ9)