Warten auf OpenSSL-Patches: Qnap, Synology, Acronis & Co.

Sicherheit (Pexels, allgemeine Nutzung)In OpenSSL war ja kürzlich eine kritische Schwachstelle entdeckt worden, die sich auf viele Software-Produkte auswirkt. Eigentlich müsste jetzt eine Reihe Software-Anbieter wie Acronis, Qnap, Synology etc. Software-Updates zum Schließen der Schwachstelle anbieten. Aber abseits der Linux-Anbieter läuft das wohl recht schleppend an.


Anzeige

Die OpenSSL-Schwachstellen

In OpenSSL gibt es zwei Schwachstellen CVE-2021-3711 und CVE-2021-3712. Die Schwachstelle CVE-2021-3711 besitzt eine CVE-Score von 8.1 und wird als Important eingestuft. Ein Fehler in der Implementierung des SM2-Entschlüsselungscodes kann zu einem Pufferüberlauf in den betreffenden Routinen führen. Ein Angreifer könnte über entsprechend manipulierte Inhalte einen Pufferüberlauf provozieren, der zu einem Absturz der Anwendung führt.

Die Schwachstelle CVE-2021-3712 wird dagegen als moderat eingestuft. Hier führt die Datenstruktur zur Implementierung von  ASN.1-Strings dazu, dass ein Angreifer einen Pufferüberlauf erzeugen kann. Dies ermöglicht die Anwendung im Rahmen eines Denial of Service-Angriffs gezielt durch manipulierte Datenpakete zum Absturz zu bringen. Die OpenSSL-Entwickler haben ein Sicherheitsupdate in Form der Version 1.1.1k veröffentlicht, um die Schwachstellen CVE-2021-3711 und CVE-2021-3712 zu schließen.

Qnap und Synology wollen vielleicht patchen

Ich hatte im Blog-Beitrag Synology warnt vor OpenSSL-Schwachstelle bei Produkten (26. August 2021) berichtet, dass sich zumindest Synology als betroffen ansieht. Über folgendem Tweet habe ich auch gesehen, dass Qnap da betroffen ist.

OpenSSL vulnerability in Qnap & Synology


Anzeige

Gemäß diesem Artikel der Kollegen von heise untersuchen die beiden Hersteller, wie sie betroffen sind und wie man die Produkte mit Sicherheitsupdates versorgen kann.

Und was ist mit anderen Produkten?

Die Frage, die mich momentan umtreibt, ist, wie es bei anderen Software-Herstellern ausschaut. In vielen Produkten ist OpenSSL ja integriert. Spontan fallen mir Acronis mit seinen Backup-Lösungen oder Citrix mit dem NetScaler ein. Bei einer kurzen Suche konnte ich da noch nichts finden. Falls euch ein Patch zum Schließen der Schwachstellen bekannt ist, könnt ihr ja einen Kommentar hinterlassen.

Ergänzung: Zu QNAP, siehe OpenSSL-Patches für QNAP (15.10.2021)


Anzeige

Dieser Beitrag wurde unter Sicherheit, Software, Update abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Warten auf OpenSSL-Patches: Qnap, Synology, Acronis & Co.

  1. woodpeaker sagt:

    Für ein Asustor Nas ist vor drei Tagen der Patch gekommen.

    "OpenSSL patch applied to fix potential vulnerabilities: CVE-2021-3711 and CVE-2021-3712.
    Netatalk updated to fix AFP vulnerability issue: CVE-2021-31439."

    Nicht immer nur auf die Platzhirsche schauen.

  2. Günter Born sagt:

    Blog-Leser Klaus B. hat mich per Mail informiert, dass Synology wohl schon etwas gefixt, aber noch nicht freigegeben habe. Denn er hat ein Support-Ticket bei diesem Anbieter eröffnet.

    Nach aktueller Planung wird die Release Version von DSM 7.0.1-42214 Ende September bzw. Anfang Oktober ausgerollt.
    Beachten Sie bitte hierbei, dass sich diese Angaben noch verändern können.

    In dem derzeitig verfügbaren Release Candidate von DSM 7.0.1-42214 sind verschiedene Sicherheitslücken, u.a. SA-21:22, bereits geschlossen.

    Die Frage ist, warum der Hersteller nicht einen Fix schneller hinbekommt, denn eigentlich sollten bei so etwas ja die Alarmglocken läuten und ein Update zum Schließen der Schwachstellen sollte zeitnah herausgegeben werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.