QNAP正在为影响其NAS设备的OpenSSL缺陷进行修补
网络连接存储(NAS)设备制造商QNAP表示,目前正在调查OpenSSL中最近修补的两个安全漏洞,以确定它们的潜在影响,并补充说,如果其产品被证明存在漏洞,它将发布安全更新。
被追踪为CVE-2021-3711(CVSS分数:7.5)和CVE-2021-3712(CVSS分数:4.4),其弱点涉及SM2解密功能中的高严重性缓冲区溢出和处理ASN时的缓冲区溢出问题。1可能被对手滥用以运行任意代码、造成拒绝服务条件或导致私钥或敏感明文等私密内存内容泄露的字符串—;
- CVE-2021-3711-OpenSSL SM2解密缓冲区溢出
- CVE-2021-3712-读取缓冲区溢出处理ASN。1字符串
“能够将SM2内容呈现给应用程序进行解密的恶意攻击者可能会导致攻击者选择的数据溢出缓冲区,最多62字节,从而改变缓冲区后保存的其他数据的内容,可能会改变应用程序的行为或导致应用程序崩溃,”该咨询称CVE-2021-3711。
OpenSSL是一个广泛使用的开源加密库,它使用安全套接字层(SSL)或传输层安全性(TLS)提供加密连接,解决了8月24日发布的OpenSSL 1.1.1l和1.0.2za版本中的问题。
In the meanwhile, NetApp on Tuesday confirmed that the flaws affect a number of its products, while it continues to assess the rest of its lineup —
- 集群数据ONTAP
- 群集数据ONTAP防病毒连接器
- E系列SANtricity OS控制器软件11。十、
- NetApp可管理性SDK
- NetApp SANtricity SMI-S提供商
- NetApp SolidFire&;HCI管理节点
- NetApp存储加密
此前几天,NAS制造商Synology还透露,它已开始调查多个型号,包括DSM 7.0、DSM 6.2、DSM UC、SkyNAS、VS960HD、SRM 1.2、VPN Plus服务器和VPN服务器,以检查它们是否受到相同两个缺陷的影响。
“多个漏洞允许远程攻击者通过易受攻击版本的Synology DiskStation Manager(DSM)、Synology Router Manager(SRM)、VPN Plus服务器或VPN服务器进行拒绝服务攻击或可能执行任意代码,”这家台湾公司在一份咨询中说。
Other companies whose products rely on OpenSSL have also released security bulletins, including —
- 德比安
- 红帽(CVE-2021-3711,CVE-2021-3712)
- SUSE(CVE-2021-3711、CVE-2021-3712)和
- Ubuntu(CVE-2021-3711,CVE-2021-3712)。
