你有聽說 Synology DSM 可以更新? 2014.04.10已經釋出更新!
先別說那麼多了,快去Web 界面控制台點選更新!!!
為什麼要更新???
OpenSSL CVE-2014-0160 Heartbleed 嚴重漏洞
簡單來說超級嚴重,可以借此漏洞讓你的NAS被人看光光完光光刪光光,所以快去更新
有台灣的資安公司做了非常完整的文件歡迎參考!!
更新後:Synology 5.0-4458 Update 2
修正的 OpenSSL 的漏洞導致加密金鑰被竊取的重大安全性問題。 (CVE-2014-0160)
請先更新完,再來看下面的故事了噢!!
2014.04.08 當天收到OpenSSL CVE-2014-0160 Heartbleed 的資訊後,
第一時間也只能乖乖關閉所有NAS對外服務,靜待原廠更新.
2014.04.09 上午透過相關管道+原廠安全性通報頁面,資訊讓資安專家對於現況做出些詳細建議
2014.04.09 10:31PM 收到Synology原廠回應,關於 上述的專家建議回應,內容如下:
“Dear Synology User,
Thank you for contacting us.
The issue will be fixed in the upcoming release and it will be available soon.
Hope this could help.
--
Best Regards,
Persey Chen”
2014.04.10 發現DSM 釋出更新來解決 CVE-2014-0160問題
同時包含07年系列也更新了 那種末代只能更新到DSM4.2非常有年紀的機種
以上是這整件事情與原廠互動的經歷分享
以下是小小心得:
1.很感激我們還有機會在網路平台上發生,說出自己的想法.
2.雖然無法當天釋出更新但隔天做到已經算及格了
3.包含 有年紀的老機種都做了更新....
4.雖然問題已經解決,但過程看得出來這間公司絲毫不尊重使用者(進階使用者,專業使用者的回饋)
當一個專業資安從業人員反映時,給予上述的回復,我想借此譴責一下!
5.可惜Synology已經是大公司了;雖然建議過許多次,但看得出來真的有打算把安全放第一,絕對的遺憾
6.借此可以看得出來 Synology 雖然使用不少OpenSource完成現在如此好用服務,
但對於全球追求Open Source平台價值始終還是相對弱勢.....
最後:感謝快速更新,但如果有專責窗口給專業人員回報,以後會更好(雖然說過n年,也討論過n次,始終做不到)
對於使用者互動也嚴重趨於冷弱,回應內容感覺跟政府官員一樣"根本就是罐頭來回"
PS:這樣互動結果下次沒有人會想再主動溝通.......身為多年使用者深表遺憾!
歡迎大家分享其他NAS公司互動經驗!
相信自由社會價值來自於資訊對稱公開,好讓大家都有機會發聲互動一起進步........
