QNAP 正在开发影响其 NAS 设备的 OpenSSL 漏洞的补丁

Qnap正在处理影响其NAS设备的openssl缺陷的补丁

网络附加存储 (NAS) 设备制造商 QNAP 表示,它目前正在 调查OpenSSL 中最近修补的两个安全漏洞,以确定它们的潜在影响,并补充说,如果其产品容易受到攻击,它将发布安全更新。

跟踪为 CVE-2021-3711(CVSS 分数:7.5)和 CVE-2021-3712(CVSS 分数:4.4),这些弱点涉及 SM2 解密函数中的高严重性缓冲区溢出和处理 ASN.1 字符串时的缓冲区溢出问题可能被攻击者滥用以运行任意代码,导致拒绝服务条件,或导致私人内存内容泄露,例如私钥或敏感的明文——

  • CVE-2021-3711 – OpenSSL SM2 解密缓冲区溢出
  • CVE-2021-3712 – 读取缓冲区溢出处理 ASN.1 字符串

“能够向应用程序提供用于解密的 SM2 内容的恶意攻击者可能会导致攻击者选择的数据溢出缓冲区最多 62 个字节,从而改变缓冲区后保存的其他数据的内容,可能会改变应用程序行为或导致应用程序崩溃”,根据 CVE-2021-3711 的建议。

OpenSSL 是一个广泛使用的开源加密库,它使用安全套接字层 (SSL) 或传输层安全性 (TLS) 提供加密连接,解决了8 月 24 日发布的 OpenSSL 1.1.1l 和 1.0.2za 版本中的问题。

与此同时,NetApp 周二确认这些缺陷影响了以下产品,同时继续评估其其余产品阵容——

  • 集群模式 Data ONTAP
  • 集群模式 Data ONTAP 防病毒连接器
  • E 系列 SANtricity OS 控制器软件 11.x
  • NetApp 可管理性 SDK
  • NetApp SANtricity SMI-S 提供商
  • NetApp SolidFire 和 HCI 管理节点
  • NetApp 存储加密

几天前,NAS 制造商 Synology 还透露已对多种型号展开调查,包括 DSM 7.0、DSM 6.2、DSM UC、SkyNAS、VS960HD、SRM 1.2、VPN Plus Server 和 VPN Server,以检查它们是否受到同样的两个缺陷的影响。

“多个漏洞允许远程攻击者进行拒绝服务攻击 [s] 或可能通过易受攻击的 Synology DiskStation Manager (DSM)、Synology Router Manager (SRM)、VPN Plus Server 或 VPN Server 版本执行任意代码,”台湾公司说,在咨询。

其他产品依赖 OpenSSL 的公司也发布了安全公告,包括——

  • Debian
  • 红帽(CVE-2021-3711CVE-2021-3712
  • SUSE(CVE-2021-3711CVE-2021-3712
  • Ubuntu(CVE-2021-3711CVE-2021-3712

 

QNAP 正在开发影响其 NAS 设备的 OpenSSL 漏洞的补丁

极牛网精选文章《QNAP 正在开发影响其 NAS 设备的 OpenSSL 漏洞的补丁》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/16097.html

(25)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
上一篇 2021年8月31日 下午5:22
下一篇 2021年9月1日 下午7:24

相关推荐

发表回复

登录后才能评论