Auteur Topic: Beveiligingslek in open SSL  (gelezen 8037 keer)

Offline GerardR

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 54
  • -Ontvangen: 64
  • Berichten: 493
Beveiligingslek in open SSL
« Gepost op: 09 april 2014, 15:50:20 »
Op 8 april is er een serieus beveiligingslek ontdekt in OpenSSL. Door dit lek is het mogelijk om op eenvoudige wijze in het bezit te komen van gevoelige informatie, zoals inloggegevens, creditcard gegevens of de private keys van de gebruikte SSL Certificaten.
Het advies is om servers onmiddellijk te patchen. Mocht dit niet mogelijk zijn dan luidt het advies om SSL uit te schakelen tot dat patchen wel mogelijk is. Niets doen is een groot risico!
zie ook
https://www.sslcertificaten.nl/nieuws/Heartbleed_bug%3A_Serieus_beveiligingslek_in_OpenSSL_ontdekt

Offline Tim__

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 353
  • -Ontvangen: 81
  • Berichten: 975
Re: Beveiligingslek in open SSL
« Reactie #1 Gepost op: 09 april 2014, 17:15:57 »
Wij moeten wachten op synology voor een patch... niet?
  • Mijn Synology: 1517+
  • HDD's: 4 x 4TB WD RED
  • Extra's: 215j & 218+

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.547
Re: Beveiligingslek in open SSL
« Reactie #2 Gepost op: 09 april 2014, 17:33:21 »
Dat ligt er aan welke versie Synology gebruikt. Als ze al OpenSSL gebruiken. De bug zit alleen de de laatste 1.01 versie die al wel 2 jaar geleden gereleased is.

Als ik op de iMac in de terminal "openssl version" opvraag, dan krijg ik versie 0.9.8y terug. Dus bij apple is men zeer terughoudend om overal de laatste versie voor je gebruiken. Ook deze 0.9.8 versie wordt nog steeds ondersteund en krijgt security updates.

Op de nas moet ik eerst in openssl om de versie te kunnen opvragen. Als ik daar 'openssl' intik, zit ik op de openssl commandline. Vervolgens gewoon het "version" command intikken geeft:

Citaat
OpenSSL> version
OpenSSL 1.0.1f-fips 6 Jan 2014
OpenSSL>
Dus inderdaad de onveilige versie. Dat krijg je als je steeds het nieuwste erop wilt hebben.  :lol:
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline GerardR

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 54
  • -Ontvangen: 64
  • Berichten: 493
Re: Beveiligingslek in open SSL
« Reactie #3 Gepost op: 09 april 2014, 17:53:47 »
Dat is wel de keuze van synology.
hopelijk zetten ze snel versie openssl 1.0.1g erop waarin de bug wordt hersteld.
tot dat moment heb ik ssl uitgeschakeld

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1455
  • Berichten: 6.095
Re: Beveiligingslek in open SSL
« Reactie #4 Gepost op: 09 april 2014, 20:26:36 »
Op Twitter heeft Synology al gemeld dat ze ASAP een patch gaan uitbrengen.

Offline Tim__

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 353
  • -Ontvangen: 81
  • Berichten: 975
Re: Beveiligingslek in open SSL
« Reactie #5 Gepost op: 09 april 2014, 21:18:46 »
  • Mijn Synology: 1517+
  • HDD's: 4 x 4TB WD RED
  • Extra's: 215j & 218+

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7983
  • Berichten: 44.003
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: Beveiligingslek in open SSL
« Reactie #6 Gepost op: 09 april 2014, 21:31:58 »
Aan de inhoud te zien, yep:


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Tim__

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 353
  • -Ontvangen: 81
  • Berichten: 975
Re: Beveiligingslek in open SSL
« Reactie #7 Gepost op: 09 april 2014, 21:37:13 »
Aan de inhoud te zien, yep:

Staat ondertussen al op mijn DS213+ :-D
  • Mijn Synology: 1517+
  • HDD's: 4 x 4TB WD RED
  • Extra's: 215j & 218+

Offline Tim__

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 353
  • -Ontvangen: 81
  • Berichten: 975
Re: Beveiligingslek in open SSL
« Reactie #8 Gepost op: 09 april 2014, 21:39:44 »
Aan de inhoud te zien, yep:

Btw Birdy, met wat open je die .pat file?
  • Mijn Synology: 1517+
  • HDD's: 4 x 4TB WD RED
  • Extra's: 215j & 218+

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7983
  • Berichten: 44.003
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: Beveiligingslek in open SSL
« Reactie #9 Gepost op: 09 april 2014, 21:42:02 »
Extract met 7-Zip. (niet door vertellen)  ;)


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline GerardR

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 54
  • -Ontvangen: 64
  • Berichten: 493
Re: Beveiligingslek in open SSL
« Reactie #10 Gepost op: 09 april 2014, 22:40:17 »
Birdy,
In het lijstje staat openssl 1.0.1f
De bug wordt hersteld met 1.0.1g
Klopt het dan wel?

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1455
  • Berichten: 6.095
Re: Beveiligingslek in open SSL
« Reactie #11 Gepost op: 09 april 2014, 22:46:28 »
Deze patch is nog niet officieel vrijgegeven, er wordt nog aan gewerkt door Synology. Niet verstandig om deze al te installeren dunkt me.

Offline Basalt

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 130
  • -Ontvangen: 122
  • Berichten: 622
Re: Beveiligingslek in open SSL
« Reactie #12 Gepost op: 09 april 2014, 23:11:47 »
 :o Ik heb in de router de port forwards naar mijn Syno maar even uitgeschakeld

/Erik
  • Mijn Synology: DS220+
  • HDD's: 2x WD Red Plus 8TB
  • Extra's: DSM 7.2
Yes, there are two paths you can go by, but in the long run, there's still time to change the road you're on - Stairway To Heaven

Offline Tim__

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 353
  • -Ontvangen: 81
  • Berichten: 975
Re: Beveiligingslek in open SSL
« Reactie #13 Gepost op: 10 april 2014, 05:35:01 »
Raar, ik heb de nog niet uitgebrachte patch geïnstalleerd en doorsta nu wel de "test".
  • Mijn Synology: 1517+
  • HDD's: 4 x 4TB WD RED
  • Extra's: 215j & 218+

Offline GerardR

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 54
  • -Ontvangen: 64
  • Berichten: 493
Re: Beveiligingslek in open SSL
« Reactie #14 Gepost op: 10 april 2014, 06:52:50 »
De patch is beschikbaar !

Version: 5.0-4458 Update 2

(2014/04/10)
Change Log

Fixed a critical security issue of OpenSSL (heartbleed) to prevent secret keys from being compromised. (CVE-2014-0160)
Enhanced the reliability of moving shared folders to different volumes.
Fixed a security issue causing encrypted shared folders to be mounted automatically after resetting the admin's password by pressing the reset button.
Fixed an issue causing system services and applications to possibly stop working.
Fixed an issue causing files indexing in Media Library to possibly stop working.
Fixed an issue preventing users from logging into FTP service when Personal Website was enabled and the homes shared folder was located on an ext3 volume.
Fixed an issue causing hard drives to not hibernate when SSD read-write cache was enabled.


 

Beveiligingslek? bureaublad aanpassen

Gestart door UnclesBoard Photo Station / Photos

Reacties: 13
Gelezen: 4485
Laatste bericht 19 juli 2015, 14:31:06
door Hofstede