Falla in OpenSSL "Heartbleed"

dapinna · Messaggio da **dapinna** » 09/04/2014, 20:20

Salve a tutti :-)

In questi giorni è stato rilevato un problema di sicurezza abbastanza grave si OpenSSL, chiamto "Heartbleed":
http://siamogeek.com/2014/04/heartbleed/

i QNAP usano OpenSSL?
Se si in quale versione?
Se è una versione vulnerabile come si può aggiornare? Basta aggiornare il bios?

Io ho il TS-220 con la versione 4.0.2.

dapinna · Messaggio da **dapinna** » 09/04/2014, 21:24

Ho appena aggiornato il firmware alla versione 4.0.5

il comando (da SSH)
openssl version
mi da questa versione:

OpenSSL 1.0.1e 11 Feb 2013

essendo vulnerabile fino alla versione 1.0.1f compresa, i QNASP sono vulnerabili.

OpenSSL si aggiorna solo tramite il firmware oppure è possibile aggiornarlo in qualche modo alternativo?

ninio · Messaggio da **ninio** » 09/04/2014, 21:54

Anche la versione 4.1 ha la release OpenSSL 1.0.1e 11 Feb 2013

dapinna · Messaggio da **dapinna** » 10/04/2014, 0:48

E' pensare che, a parte i dettagli, rilasciati qualche giorno fa, della vulnerabilità si sapeva da due anni.

http://tech.fanpage.it/heartbleed-la-nu ... ella-rete/

ninio · Messaggio da **ninio** » 13/04/2014, 17:02

Hanno rilasciato la patch nei firmware 4.0.7 build 0410

dapinna · Messaggio da **dapinna** » 13/04/2014, 20:28

Per il TS-220 vedo che l'ultima è ancora la 4.0.5

Speriao che in breve tempo rilascino le patch per i vari modelli.

dapinna · Messaggio da **dapinna** » 18/04/2014, 3:00

Aggiornato Firmware alla 4.0.7

Ma il comando:

Codice: Seleziona tutto

openssl version

mi da sempre una versione vulnerabile:

OpenSSL 1.0.1e 11 Feb 2013

La versione NON vulnerabile + la 1.0.1g

QNAP Club Italia

Falla in OpenSSL "Heartbleed"

Falla in OpenSSL "Heartbleed"

Re: Falla in OpenSSL "Heartbleed"

Re: Falla in OpenSSL "Heartbleed"

Re: Falla in OpenSSL "Heartbleed"

Re: Falla in OpenSSL "Heartbleed"

Re: Falla in OpenSSL "Heartbleed"

Re: Falla in OpenSSL "Heartbleed"