Werbung
OpenSSL hat in der Version 1.1.1l zwei Sicherheitslücken geschlossen. Eine der Schwachstellen wurde vom Gefahrenlevel als "Hoch" eingestuft. Die Lücken werden unter CVE-2021-3711 und CVE-2021-3712 geführt. Jetzt haben auch die Hersteller Synology und QNAP bestätigt, dass die eigenen Geräte von diesen betroffen sind.
Angreifer sind in der Lage, einer Anwendung SM2-Inhalte zur Entschlüsselung vorzulegen. Dabei ist es durch die ausgewählten Daten möglich, den Puffer um bis zu 62 Byte überlaufen zu lassen und die Inhalte der nachfolgenden Daten zu manipulieren. Dies könnte unter anderem den Absturz einer Anwendung zur Folge haben. Der Ort des Puffers ist anwendungsabhängig, wird aber typischerweise im Heap allokiert. Besagte Sicherheitslücke findet sich in den OpenSSL-Versionen 1.1.1 bis 1.1.1k.
Laut Angaben von QNAP laufen aktuell Untersuchungen. Sobald diese abgeschlossen sind, werden weitere Informationen zu einem möglichen Update veröffentlicht. Synology soll bereits an einem entsprechenden Patch arbeiten. Wann dieser erscheinen wird, ist derzeit jedoch noch unklar.
Bei QNAP-Geräten scheint offensichtlich in erster Linie der Hybrid Backup Sync 3 (HBS 3) betroffen zu sein. Nutzer können diesen deaktivieren solange eine aktualisierte Firmware auf sich warten lässt. Allerdings besteht hier keine Garantie, dass dies die Schwachstelle tatsächlich temporär behebt. Wer hingegen ein Synology-Gerät sein Eigen nennt, hat insbesondere bei einem installierten DiskStationManager 7 (DSM 7) gleich mehrere anfällige Anwendungen.
Wie immer gilt, wer hier auf Nummer sicher gehen will, sollte die Geräte vom Internet trennen und den Zugriff nur aus dem lokalen Netzwerk erlauben. Dies lässt sich mit einer entsprechenden Firewall-Regel realisieren. Oder man entfernt den Gateway in den Netzwerkeinstellungen. Vorausgesetzt, die eigene Infrastruktur lässt dies zu.