Synology hat eine neue Version seiner Firmware veröffentlicht. Es handelt sich hierbei um einen Patch gegen die kürzlich entdeckte “Heartbleed”-Lücke. Die Schwachstelle liegt in der technischen Umsetzung der Heartbeat-Erweiterung des TLS-Protokolls in OpenSSL. Die Entdecker der Lücke sprechen vom Heartbleed Bug, weil der Fehler in der Heartbeat-Funktion gefunden wurde. Über einen Heartbeat tauschen Kommunikationspartner Statusinformationen aus, vor allem um festzustellen, ob das Gegenüber noch aktiv ist. Durch eine fehlende Überprüfung eines Speicherzugriffs kann ein Angreifer dabei bis zu 64 KByte der Gegenstelle auslesen, heißt es im Security Advisory von OpenSSL. Laut der Beschreibung der Entdecker gelang es in Tests auf diesem Weg die geheimen Schlüssel eines Server-Zertifikats, Usernamen, Passwörter und auch verschlüsselte übertragenen Daten wie E-Mails zu stehlen. Und das alles ohne irgendwelche Spuren auf dem Server zu hinterlassen.
In erster Linie betroffen sind jetzt alle Betreiber von Servern, die SSL zur Verschlüsselung einsetzen. Das sind nicht nur Web-Server, sondern häufig auch solche für E-Mail, VPN und andere Dienste. Es ist äußerst wichtig, diese Systeme jetzt schnellstmöglichst zu sichern. Die Version OpenSSL 1.0.1g enthält den Fehler nicht mehr. Debian stellt bereits ein Update bereit; andere Distributionen werden bald folgen.
Im nächsten Zug müssen natürlich auch Endanwender, die Produkte auf OpenSSL-Basis einsetzen, aktualisierte Versionen installieren. Und das dürften nahezu alle sein. Denn das Problem betrifft nicht nur PCs, sondern insbesondere auch Smartphones, SmartTVs, Router und viele andere Geräte – im wesentlich alles, was irgendwie mit dem Internet spricht und keine proprietären SSL-Bibliotheken einsetzt.
Das Update soll der Lücke entgegenwirken. Allerdings scheint der Patch noch fehlerbehaftet sein. Bei verschiedenen Benutzern ist nach dem Einspielen des Patches das NAS in einer Endlosschleife beim Neustart hängen geblieben. Der Zugriff über die Oberfläche gelingt genauso wenig wie über den Synology Assistent Manager. Synology hat mittlerweile bestätigt, dass die Modelle DS112j und RS214 von dem Fehler betroffen sind. Wann eine bereinigte Version zur Verfügung steht ist noch unklar. Bei der von mir eingesetzten DS213 ging alles glatt über die Bühne.