Een aantal dagen geleden kwam ik een bericht tegen op Tweakers.net. Er is door Google een lek gevonden in SSL 3.0. Dit betreft een oude versie van SSL, maar is nog wel actief op onze NAS servers. Vandaag kreeg ik via een collega een link door waarmee ik kon testen of mijn Synology kwetsbaar is, en helaas heeft mijn NAS de test niet gehaald. Het volgende verscheen in beeld:
The Server at XXXXXX has SSL 3.0 enabled. Clients connecting with browsers that support SSL 3.0 and HTTPS fall back will not be secure.
Wanneer je zelf even wilt testen dan kan je kijken op de website: http://poodlebleed.com/. Je geeft hier je domeinnaam of IP in met het poortnummer waarop gecontroleerd moet worden. Waarna je kan testen.
Een aanvaller moet iemands verkeer kunnen onderscheppen voor misbruik, bijvoorbeeld door een malafide netwerk op te zetten. Vervolgens kan javascript worden gebruikt om cookies te onderscheppen.
Bron Tweakers.net
Berichten op het internet laten mij weten dat dit probleem niet zo ernstig is als de Heartbleed bug, maar toch jammer dat Synology er weer last van heeft. Tot op heden heb ik nog geen bericht mogen lezen van Synology, maar verwacht dat het niet lang duurt voordat Synology stappen onderneemt. Wanneer het zover is laten we jullie dat natuurlijk weer weten!
Inderdaad jammer dat wederom Synology hier slachtoffer van is. Niet dat het direct op Synology gemikt is maar qua security is het een zwaar jaar voor Synology.
Hallo,
SSL v3 is uit te zetten op je Synology
Edit de volgende twee file:
/etc/httpd/conf/extra/httpd-alt-port-ssl-setting.conf
/etc/httpd/conf/extra/httpd-ssl.conf-common
en vervang : SSLProtocol all -SSLv2
door: SSLProtocol all -SSLv2 -SSLv3
Herstart de synology en probleem is opgelost