[English]Der Hersteller Synology hat zum 26. August 2021 eine Sicherheitswarnung für seine Produkte herausgegeben. Mehrere Schwachstellen erlauben Remote-Angreifern, Denial-of-Service-Angriffe durchzuführen oder beliebigen Code über eine anfällige Version von Synology DiskStation Manager (DSM), Synology Router Manager (SRM), VPN Plus Server oder VPN Server auszuführen. Aktuell scheinen noch keine Produktupdates bereits zu stehen.
Anzeige
OpenSSL hat ein Sicherheitsupdate in Form der Version 1.1.1k veröffentlicht, um zwei Schwachstellen CVE-2021-3711 und CVE-2021-3712 zu schließen. Die zwei Schwachstellen CVE-2021-3711 und CVE-2021-3712 in OpenSSL wirken sich auch auf die Sicherheit des Synology DiskStation Manager (DSM), Synology Router Manager (SRM), VPN Plus Server oder VPN Server aus. Blog-Leser Ralf hat eben in diesem Kommentar auf diesen Sachverhalt hingewiesen (danke dafür). Synology hat dazu die Sicherheitswarnung Synology-SA-21:24 OpenSSL mit Details veröffentlicht. Betroffen sind folgende Software-Produkte, für die zum 26. August 2021 noch keine Sicherheitsupdates zur Verfügung stehen:
| Product | Severity | Fixed Release Availability |
|---|---|---|
| DSM 7.0 | Important | Ongoing |
| DSM 6.2 | Moderate | Ongoing |
| DSM UC | Moderate | Ongoing |
| SkyNAS | Moderate | Pending |
| VS960HD | Moderate | Pending |
| SRM 1.2 | Moderate | Ongoing |
| VPN Plus Server | Important | Ongoing |
| VPN Server | Moderate | Ongoing |
Die Schwachstelle CVE-2021-3711 besitzt eine CVE-Score von 8.1 und wird als Important eingestuft. Ein Fehler in der Implementierung des SM2-Entschlüsselungscodes kann zu einem Pufferüberlauf in den betreffenden Routinen führen. Ein Angreifer könnte über entsprechend manipulierte Inhalte einen Pufferüberlauf provozieren, der zu einem Absturz der Anwendung führt. Ob auch eine Codeausführung möglich ist, darüber wird von den OpenSLL-Entwicklern nichts ausgesagt – aber Synology möchte dies nicht ausschließen.
Die Schwachstelle CVE-2021-3712 wird dagegen als moderat eingestuft. Hier führt die Datenstruktur zur Implementierung von ASN.1-Strings dazu, dass ein Angreifer einen Pufferüberlauf erzeugen kann. Dies ermöglicht die Anwendung im Rahmen eines Denial of Service-Angriffs gezielt durch manipulierte Datenpakete zum Absturz zu bringen. Details zu den beiden Schwachstellen lassen sich in den verlinkten Sicherheitshinweisen nachlesen.
Anzeige
…ich bereue den Kauf eines Synology immer mehr.
Ich hoffe das wird bis zum Fix nicht wieder so ein Debakel, wie mit der Sudo Vuln. Anfang des Jahres (im Jan gefixed in allen Distributionen in <24 h – bei Synlogy im April/Mai).
In welchem Setting haben deine NAS-Nutzer Zugriff auf die Konsole? Mir fällt gerade kein Grund dafür ein. Daher sehe ich es auch nicht als Problem, dass der sudo Bug nicht zeitnah gefixed wurde. Der Bug war nur für lokale Nutzer relevant. (https://www.heise.de/news/Jetzt-updaten-Kritische-sudo-Luecke-gewaehrt-lokalen-Angreifern-Root-Rechte-5037687.html)
Falls du Konsolenzugriff für alle gegeben hast, würde ich zuerst mal darüber nachdenken, wie du eine besser Lösung findest.
Aber klar, du kannst trotzdem über einen anderen Hersteller nachdenken. Nur: außer Synology kommt höchstens noch Qnap in Frage was Updates angeht (und die haben auch regelmäßig Probleme) oder du steigst auf einen Selbstbau um (z.B. mit OpenMediaVault).