Synology informiert über OpenSSL-Schwachstelle

Synology hat schon einmal eine kleine Warnung herausgegeben (Security Advisory Synology-SA-21:24) – und zahlreiche Hersteller müssten eigentlich bald folgen. In OpenSSL wurde eine Schwachstelle entdeckt, die mittlerweile mit Version 1.1.1l geschlossen wurde. OpenSSL wird oft zur Implementierung der Protokolle Transport Layer Security (TLS) und Secure Sockets Layer (SSL) verwendet, die verschlüsselte Netzwerkverbindungen unterstützen. Groß in die Medien kam OpenSSL 2014 mit der Heartbleed genannten Lücke – so lange ist das schon her.

Ein böswilliger Angreifer, der in der Lage ist, einer Anwendung SM2-Inhalte zur Entschlüsselung vorzulegen, könnte bewirken, dass die vom Angreifer ausgewählten Daten den Puffer um bis zu 62 Byte überlaufen lassen und den Inhalt anderer Daten, die nach dem Puffer gehalten werden, verändern, wodurch sich möglicherweise das Verhalten der Anwendung ändert oder die Anwendung zum Absturz gebracht wird. Der Ort des Puffers ist anwendungsabhängig, wird aber typischerweise im Heap allokiert. Behoben in OpenSSL 1.1.1l (Betroffen sind 1.1.1-1.1.1k).

Bei Synology arbeitet man nach eigenen Angaben auch an einem Fix, der Schweregrad der Lücke sei unter dem DiskStationManager 7 (DSM 7) höher als unter DSM 6.2. Mehrere Schwachstellen erlauben entfernten Angreifern, Denial-of-Service-Angriffe durchzuführen oder beliebigen Code über eine anfällige Version von Synology DiskStation Manager (DSM), Synology Router Manager (SRM), VPN Plus Server oder VPN Server auszuführen. Betrifft logischerweise nur Geräte mit direkter Verbindung ins „offene Netz“. Sobald sich da an der Update-Front etwas tut, geben wir noch einmal Bescheid. Hersteller wie QNAP werden vermutlich bald ähnliche Meldungen herausgeben.

In diesem Artikel sind Partner-Links enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

2 Kommentare

  1. Synologisch says:

    Benachrichtige mich über nachfolgende Kommentare via E-Mail.

  2. Vielleicht sollte man dazu sagen, dass SM2 in der westlichen Welt so gut wie nicht genutzt wird. Es ist aber AFAIK der chinesische Standard.
    Man sollte sicherlich Updates einspielen – aber es ist nicht dramatisch schlimm.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.