Synology informiert über OpenSSL-Schwachstelle
Synology hat schon einmal eine kleine Warnung herausgegeben (Security Advisory Synology-SA-21:24) – und zahlreiche Hersteller müssten eigentlich bald folgen. In OpenSSL wurde eine Schwachstelle entdeckt, die mittlerweile mit Version 1.1.1l geschlossen wurde. OpenSSL wird oft zur Implementierung der Protokolle Transport Layer Security (TLS) und Secure Sockets Layer (SSL) verwendet, die verschlüsselte Netzwerkverbindungen unterstützen. Groß in die Medien kam OpenSSL 2014 mit der Heartbleed genannten Lücke – so lange ist das schon her.
Ein böswilliger Angreifer, der in der Lage ist, einer Anwendung SM2-Inhalte zur Entschlüsselung vorzulegen, könnte bewirken, dass die vom Angreifer ausgewählten Daten den Puffer um bis zu 62 Byte überlaufen lassen und den Inhalt anderer Daten, die nach dem Puffer gehalten werden, verändern, wodurch sich möglicherweise das Verhalten der Anwendung ändert oder die Anwendung zum Absturz gebracht wird. Der Ort des Puffers ist anwendungsabhängig, wird aber typischerweise im Heap allokiert. Behoben in OpenSSL 1.1.1l (Betroffen sind 1.1.1-1.1.1k).
Bei Synology arbeitet man nach eigenen Angaben auch an einem Fix, der Schweregrad der Lücke sei unter dem DiskStationManager 7 (DSM 7) höher als unter DSM 6.2. Mehrere Schwachstellen erlauben entfernten Angreifern, Denial-of-Service-Angriffe durchzuführen oder beliebigen Code über eine anfällige Version von Synology DiskStation Manager (DSM), Synology Router Manager (SRM), VPN Plus Server oder VPN Server auszuführen. Betrifft logischerweise nur Geräte mit direkter Verbindung ins „offene Netz“. Sobald sich da an der Update-Front etwas tut, geben wir noch einmal Bescheid. Hersteller wie QNAP werden vermutlich bald ähnliche Meldungen herausgeben.
# | Vorschau | Produkt | Preis | |
---|---|---|---|---|
1 | Synology DiskStation DS224+ 2 Bay Dekstop NAS | 329,00 EUR | Bei Amazon ansehen | |
2 | Synology DS223J 2 Bay Desktop NAS, weiß | 185,90 EUR | Bei Amazon ansehen | |
3 | Synology Diskstation DS124 NAS System | 149,90 EUR | Bei Amazon ansehen |
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Benachrichtige mich über nachfolgende Kommentare via E-Mail.
Vielleicht sollte man dazu sagen, dass SM2 in der westlichen Welt so gut wie nicht genutzt wird. Es ist aber AFAIK der chinesische Standard.
Man sollte sicherlich Updates einspielen – aber es ist nicht dramatisch schlimm.