Synology räumt nach Heartbleed auf: Passwort-Wechsel und Updates
Nachdem es durch die Heartbleed-Lücke gelang, auf Mail-Adressen und Passwörter von Synology-Nutzern zuzugreifen, fordert der Hersteller seine Kunden nun nachdrücklich zum Passwortwechsel auf. Außerdem gibt es Security-Updates für die Synology-NAS.
- Ronald Eikenberg
Den NAS-Hersteller Synology hat die Heartbleed getaufte OpenSSL-Lücke gleich doppelt getroffen: Nicht nur der firmeneigene DynDNS-Dienst MyDS war anfällig, sondern auch die Synology-Netzwerkspeicher (NAS).
Wie heise Security berichtete, konnte man bei dem MyDS-Dienst einige Zeit durch die Heartbleed-Lücke auf Mail-Adressen und Klartext-Passwörtern von Nutzern zugreifen. Wer ihn benutzt, muss also davon ausgehen, dass die dort genutzten Login-Daten kompromittiert wurden. Synology empfiehlt seinen Kunden in einer am heutigen Dienstag veröffentlichten Stellungnahme daher nachdrücklich, ihr MyDS-Passwort zu ändern.
Wer das Passwort auch bei anderen Diensten recycelt hat, sollte es freilich auch dort ändern.
Für die NAS gibt es indes ein Update für die Firmware DSM 5.0, das die abgesicherte OpenSSL-Version 1.0.1g mitbringt. Der Hersteller empfiehlt, nach dem Update die SSL-Zertifikate zu erneuern, da die bislang genutzten Private Keys möglicherweise durch die Lücke kopiert wurden.
Wer DSM 4.3 einsetzt,, kann ebenfalls auf die abgesicherte Version des 5er Zweigs umsteigen. Alternativ soll Ende April auch eine abgesicherte Version 4.3 verfügbar sein. Von Version 4.2 soll ebenfalls eine abgesicherte Variante folgen, die Synology auch Nutzern der Version 4.1 empfiehlt. DMS 4.0 und ältere sind nicht betroffen. (rei)
