Buffalo Technology bestätigt, dass seine NAS-Systeme vom Heartbleed-Bug nicht betroffen sind. Drei ältere Router-Modelle die auf DD-WRT Firmware laufen sollten überprüft werden.
Buffalo Technology, einer der weltweit führenden Hersteller von NAS-, Wireless- und Multimedia-Systemen, gab bekannt, dass alle Produkte, die auf der Buffalo-Firmware laufen, vor dem Heartbleed-Bug sicher sind. Die NAS-Erfolgsserien LinkStation und TeraStation sind von der Sicherheitslücke in Open SSL nicht betroffen. Das Gleiche gilt auch für alle aktuellen Buffalo AirStation Router-Modelle und alle Router, die die Firmware von Buffalo Technology nutzen. Die Einstellungen von drei der älteren Router sollten überprüft werden, falls diese auf der optionalen DD-WRT Firmware laufen, um ein Sicherheitsrisiko auszuschließen.
Der Heartbleed-Bug in den Open SSL-Versionen 1.0.1 bis einschließlich 1.0.1f kann Passwörter und Anmeldeinformationen von unterschiedlichen Systemen und Websites erkennen. Buffalo Technology bestätigt, dass seine Network Attached Storage (NAS)-Kunden vor dem Heartbleed-Bug sicher sind. Klaas de Vos, COO von Buffalo Europe, erklärt: „Unsere japanischen Softwareingenieure sind in Bezug auf Sicherheit sehr konservativ. Als die neue Heart Beat-Erweiterung für Open SSL herauskam, wurde diese nicht verwendet – eine absolut richtige Entscheidung, wie sich jetzt herausstellt.“
Helge Lichner, Vertriebsingenieur bei Buffalo Europe, fügt hinzu: „Aus technischer Sicht machte es keinen Sinn, die erweiterte Open SSL-Version zu verwenden, da unsere Produkte nicht auf Web-Server-Dienste fokussiert sind. Daher haben wir unser Betriebssystem für die LinkStation, TeraStation und AirStation auch weiterhin bei den getesteten, stabilen und sehr sicheren Open SSL-Versionen belassen.“
Das Unternehmen bestätigt, dass alle aktuellen AirStation-Router-Modelle sowie alle älteren Modelle, die auf Buffalo-Firmware betrieben werden, sicher sind. Nutzer von drei AirStation-Modellen – AirStation WZR-HP-G300NH2, WZR-HP-G450H und WZR-HP-AG300H – bei denen statt des Buffalo OS die DD-WRT Firmware ausgewählt wurde und die nicht die Standardeinstellungen verwenden, könnten jedoch gefährdet sein. Falls „Open VPN“ manuell aktiviert wurde, können hier Informationen zu Updates online geprüft werden.
Alle drei oben genannten Geräte sind Auslaufmodelle und werden nicht mehr verkauft. DD-WRT arbeitet an einem Patch für diese Geräte, bittet Nutzer jedoch um Geduld. Peter Steinhäuser, Geschäftsführer der NewMedia-NET GmbH, erläutert: „Open SSL wurde sofort in der DD-WRT SVN Repository aktualisiert. In den nächsten Tagen werden wir auch aktualisierte Versionen für alle Router einschließlich der Buffalo-spezifischen Versionen anbieten. Betroffene Nutzer sollten zunächst prüfen, ob ihr Setup wirklich von Heartbleed betroffen ist – in den Standardeinstellungen von DD-WRT ist kein Service aktiv, der Open SSL nutzt.“
Über Heartbleed
Heartbleed ist eine Sicherheitslücke, die nach der „Heart Beat“ Erweiterung im TLS/SSL-Protokoll benannt geworden ist. Die Heart Beat Extension hält eine SSL-Verbindung aufrecht. Bei Servern ist dies sinnvoll, weil die Wiederherstellung einer Verbindung mehr Systemressourcen als die Überprüfung der Verbindungen erfordert. Die Verbindung wird nur beendet, wenn der Kunde nicht mehr antwortet. Absicht war es, die Leistung beispielsweise von Web-Servern zu verbessern und Ressourcen zu sparen. Allerdings hat diese Erweiterung einen Designfehler, daher der Name Heartbleed. Wenn eine Open SSL-Version installiert ist, die diese spezielle Erweiterung nutzt, ist das System angreifbar. Die Extension wurde bereits im Jahr 2012 veröffentlicht, so dass sie weitverbreitet ist. SSL war bis April 2014 gefährdet, dies betrifft besonders User, die auf dem Standard basierende Versionen im Einsatz hatten.