OpenSSL Bug (Heartbleed Bug)

    Ich will hier keine Panik verbreiten, aber da ich meine Qnap via Https und Webdav(s) im Netz hängen habe, mache ich mir schon ein wenig sorgen.
    Gleiches gilt auch für Owncloud User.


    Hat sich Qnap diesbezüglich schon geäußert, ich konnte jetzt auf die Schnelle nichts finden ?


    Momentan läuft ab Werk in der Qnap Firmware 4.0.5 die OpenSSL Version 1.0.1e und die ist jedenfalls betroffen.


    Quelle:
    http://www.heise.de/newsticker…g-in-OpenSSL-2165517.html

    Die Info ist ziemlich neu, daher würde ich mich mit diesbezüglichen Fragen direkt an QNAP wenden.


    Das Gruselige ist, dass dieser Fehler wohl seit der 1.0.1 (März 2012)!! besteht und erst jetzt publik entdeckt wurde. Wenn die Sicherheitsforscher da richtig liegen und etwa ein Drittel der Internetserver betroffen ist, ist da sicherlich schon ordentlich Schindluder mit getrieben worden... :(


    --> http://de.wikipedia.org/wiki/OpenSSL


    GLG GBD


    --- EDIT ---


    UPDATE
    Es gibt nun eine Stellungnahme von QNAP zu dieser Problematik:
    --> http://forum.qnapclub.de/viewtopic.php?f=129&t=30322


    GLG GBD

    Hallo,
    ich wuerde vermuten, dass diese noch eine aeltere OpenSSL-Version als 1.0.1 verwenden, denn diese aelteren Versionen sind ja nicht betroffen.

    also hier auf meiner QNAP TS 212 mit aktueller Firmware gibt mir ipkg list_installed | grep open folgendes aus:

    Code
    openssl - 0.9.8v-2 - Openssl provides the ssl implementation in libraries libcrypto and libssl, and is needed by many other applications and librari


    aber ein Test ergab, das eine auf dem NAS gehostete Seite angreifbar ist.

    TS-420
    Firmware 4.0.5
    2013/11/26

    Code
    [~] # openssl version
OpenSSL 1.0.1e 11 Feb 2013


    Sieht aus als wärs betroffen. 1.0.1g fixt es (Bei Fedora haben sie die 1.0.1f selbst gepatcht. Afus datum achten).

    Bei meiner TS-219P II mit QTS 4.1 (beta) ebenfalls die "OpenSSL 1.0.1e 11 Feb 2013". Meine Kiste hängt momentan zwar nur im lokalen Netz (also kein Zugriff von Außen), hoffe aber, dass QNAP das bald fixen wird.

    Ich nutze excessiv myQNAPcloud und Qsync, ich habe sie erstmal nur noch lokal verfügbar gemacht, ist für mich aber sau wichtig.


    Synology arbeitet bereits an einem Patch, auch wenn der stress macht, man hört wenigstens was von denen.

    Zitat von "tuxflo"

    ipkg list_installed | grep open


    Das ist nur das per Optware unter /opt/... installierte openSSL. Die QNAP-FW bringt ja schon ein eigenes openSSL mit.
    Welches nun verwendet wird, liegt zum einen daran, ob es mit absoluter Pfadangabe aufgerufen wird bzw. an der Position in der Pfadangabe PATH.
    Gib mal ein

    Code
    which openssl

    ein. Dann siehst du, welches openssl verwendet wird, wenn kein absoluter Pfad mitgegeben wird.

    Zitat von "rubinho"

    ... mache ich mir schon ein wenig sorgen.
    Gleiches gilt auch für Owncloud User.]


    Btw.: Der Heartbleed-Bug ist bei der Nutzung von Owncloud das geringster aller Probleme...
    Die Anzahl der sicherheitskritischen Lücken ist seit Jahren erschreckend hoch, was den unreifen Character dieses Produktes (ja, es ist zu Teilen kommerziell) unterstreicht. Bislang lag der Fokus ohnehin nicht auf Sicherheit, sondern auf das Ergattern von Marktanteilen - bisweilen mit gesponsertem Code für die Community. Da die Informationspolitik des Unternehmens ownCloud Inc. erstaunlich zurückhaltend ist, durfte der Fachwelt damals (2012) spätestens beim Lesen dieses Artikels die Fußnägel hochgerollt sein: http://crypto.junod.info/2012/…cloud-4-0-and-encryption/


    Grundsätzliches bezüglich der Sicherheit hat sich seit dem nicht geändert.




    Gruß vom subitus