In dem Kommentaren aus den letzten Beiträgen ist jedoch auch herauszulesen, dass viele Synology-User das Update auf DSM 5.0 scheuen — wohl ab und an auch zurecht. Ich habe daher bei Sysnology angeklopft, ob es auf auch für DSM 4.3 zumindest ein per Hand installierbares Hotfix geben wird, bisher aber noch keine Antwort bekommen — die Anfrage ist aber auch noch nicht lange her. Ich werden euch aber diesbezüglich hier an dieser Stelle auf dem Laufenden halten, schaut also gegen Abend noch mal hier in diesem Beitrag vorbei.

[UPDATE 10.04.2014: Inzwischen ist von Synology eine Antwort eingetroffen: Gerade eben wurden wie angesprochen die Heartbleed-Updates für DSM 5.0 veröffentlicht, es werden Updates für DSM 4.3 und DSM 4.2 folgen. Diese sind bereits in der Bearbeitung und werden so schnell wie möglich in den kommenden Tagen veröffentlicht.​ Zuerst kommt das Update für DSM 4.2 und danach DSM 4.3, da DSM 4.3-Nutzer potentiell auf DSM 5.0 upgraden können, behandelt Synology das Update für DSM 4.2 mit höherer Priorität.]

[UPDATE 11.04.2014: Das Update sollte man vielleicht aktuell eher mit etwas Vorsicht genießen. Diverse Medien und auch mehrere User im Synology-Forum berichten, dass das Update auf DSM 5.0-4458 Update 2 die Diskstation schrotten kann. Insbesonders scheinen die Modelle DS211j, RS214 und DS112j betroffen zu sein. In der Redaktion der Golem ging eines dieser Modelle flöten. Auf meiner DS412+ lief das Update hingegen glatt durch.]

[UPDATE 14.04.2014: Inzwischen wurde das Update-Problem wohl behoben, im Synology-Forum schreibt ein Mitarbeiter „Regarding DSM 5.0 4458 update-2, the update issue on DS112j and RS214 has been addressed, and users who have not applied this update should be able to proceed the update without any issue now.“ Man kann seine Synology nun also sicher updaten. Wer sein Synology-NAS gebrickt hat, muss jedoch ein Ticket bei Synology erstellen. Per Telnet kann der Synology-Support die Box wiederbeleben.]

Synology Diskstation von Heartbleed betroffen!

Betroffen sind wohl mindestens alle Synology Diskstations mit der aktuellen Firmware in der Version DSM 5.0-4458 Update 1. Wie es mit älteren Ständen der Firmware aussieht, kann ich mangels Gerätepark leider nicht sagen — ich würde jedoch auf jeden Fall dazu raten meine Diskstation überprüfen. Wer den Zugang zu seiner Synology Diskstation über das Internet freigegeben hat, der sollte diese daher bis zum Update der Firmware seitens Synology nicht über https ansteuern, sondern besser erst einmal ein VPN zur Diskstation einrichten und sich dann komplett verschlüsselt auf der Diskstation anmelden. [Update 10.04.14: Inzwischen gibt es ein Heartbleed-Update für DSM 5.0, die älteren Version DSM 4.2 und DSM 4.3 werden ebenfalls noch mit Updates versorgt.]

Das FRITZ!OS der weit verbreiteten FRITZ!Boxen hingegen zeigt in der aktuellen Version FRITZ!OS 06.03 keine Heartbleed-Schwächen — zumindest spuckt der Heartbleed-Checker bei mir keine Warnung aus. Aber da so gut wie jeder Router im Inneren mit einem Linux arbeitet, solltet ihr diesen mit dem dem Heartbleed Test überprüfen — Sinn macht dies natürlich nur, wenn ihr das Konfigurationsbackend eures Routers oder andere Dienste für das Internet geöffnet habt. Wer nicht weiß, wie man seine aktuelle IP herausfindet, der bekommt diese zum Beispiel über wtfismyip.com im Browser angezeugt. Vergesst nicht den Serverport des Backends an die IP-Adresse mit einem :1234 anzuhängen.

Eigene IT-Hardware auf Heartbleed überprüfen

Wer einen Rechner in einem lokal begrenzten Netzwerk in den eigenen vier Wänden auf den Heartbleed-Bug hin überprüfen möchte, der kommt mit dem Web-basierten Test nicht weit. Der Heartbleed-Checker lässt sich über das Github des Autors allerdings auch lokal auf dem Rechner installieren. Besonders Arch-Linux-User haben es hier — mal wieder — leichter, das Paket lässt sich bequem aus dem AUR installieren.

$ sudo pacaur -S heartbleed-git

Der Test spuckt entweder ein „SAFE“ aus, dann ist das von euch geprüfte System nicht von Heartbleed betroffen, oder die Yello Submarine meldet ein „VULNERABLE“, dann solltet ihr entweder endlich mal die anstehenden Updates installieren, oder euch — besonders bei Geräten mit fest verbauter Firmware — beim Hersteller melden.  Dieser muss dafür sorgen, dass die Sicherheitslücke so schnell wie möglich behoben wird — besonders wenn das Gerät direkt im Internet hängt.

Updates, die dem Heartbleed Bug den Garaus machen, standen bei mir schon heute morgen für Debian und Arch Linux zur Verfügung, und auch die anderen Distributionen werden das Sicherheitsupdate schon ausliefern. Nun liegt es an euch die Sicherheits-Updates auch zu installieren: besonders gerne vergisst man seine seinen testweise aufgesetzten Raspberry Pi in der Ecke, oder einen zum Experimentieren billig angemieteten Vserver im Netz!

Problematisch sind aber auch Embedded-Linux-Systeme wie Router oder NAS-Speicher. Auf diesen Geräten kommt meist auch ein Linux zum Einsatz und demzufolge setzen viele dieser Systeme auch OpenSSL ein — wenn man Pech hat inklusive dem Heartbleed-Bug. Mit einem einfachen Test kann man seine Systeme auf Heartbleed testen, die Synology Diskstations sind zum Beispiel für Heartbleed anfällig. Für ein Update solcher Systeme ist man leider vom Hersteller abhängig.