In OpenSSL war ja kürzlich eine kritische Schwachstelle entdeckt worden, die sich auf viele Software-Produkte auswirkt. Eigentlich müsste jetzt eine Reihe Software-Anbieter wie Acronis, Qnap, Synology etc. Software-Updates zum Schließen der Schwachstelle anbieten. Aber abseits der Linux-Anbieter läuft das wohl recht schleppend an.
Anzeige
Die OpenSSL-Schwachstellen
In OpenSSL gibt es zwei Schwachstellen CVE-2021-3711 und CVE-2021-3712. Die Schwachstelle CVE-2021-3711 besitzt eine CVE-Score von 8.1 und wird als Important eingestuft. Ein Fehler in der Implementierung des SM2-Entschlüsselungscodes kann zu einem Pufferüberlauf in den betreffenden Routinen führen. Ein Angreifer könnte über entsprechend manipulierte Inhalte einen Pufferüberlauf provozieren, der zu einem Absturz der Anwendung führt.
Die Schwachstelle CVE-2021-3712 wird dagegen als moderat eingestuft. Hier führt die Datenstruktur zur Implementierung von ASN.1-Strings dazu, dass ein Angreifer einen Pufferüberlauf erzeugen kann. Dies ermöglicht die Anwendung im Rahmen eines Denial of Service-Angriffs gezielt durch manipulierte Datenpakete zum Absturz zu bringen. Die OpenSSL-Entwickler haben ein Sicherheitsupdate in Form der Version 1.1.1k veröffentlicht, um die Schwachstellen CVE-2021-3711 und CVE-2021-3712 zu schließen.
Qnap und Synology wollen vielleicht patchen
Ich hatte im Blog-Beitrag Synology warnt vor OpenSSL-Schwachstelle bei Produkten (26. August 2021) berichtet, dass sich zumindest Synology als betroffen ansieht. Über folgendem Tweet habe ich auch gesehen, dass Qnap da betroffen ist.
Anzeige
Gemäß diesem Artikel der Kollegen von heise untersuchen die beiden Hersteller, wie sie betroffen sind und wie man die Produkte mit Sicherheitsupdates versorgen kann.
Und was ist mit anderen Produkten?
Die Frage, die mich momentan umtreibt, ist, wie es bei anderen Software-Herstellern ausschaut. In vielen Produkten ist OpenSSL ja integriert. Spontan fallen mir Acronis mit seinen Backup-Lösungen oder Citrix mit dem NetScaler ein. Bei einer kurzen Suche konnte ich da noch nichts finden. Falls euch ein Patch zum Schließen der Schwachstellen bekannt ist, könnt ihr ja einen Kommentar hinterlassen.
Ergänzung: Zu QNAP, siehe OpenSSL-Patches für QNAP (15.10.2021)
Anzeige
Für ein Asustor Nas ist vor drei Tagen der Patch gekommen.
"OpenSSL patch applied to fix potential vulnerabilities: CVE-2021-3711 and CVE-2021-3712.
Netatalk updated to fix AFP vulnerability issue: CVE-2021-31439."
Nicht immer nur auf die Platzhirsche schauen.
Blog-Leser Klaus B. hat mich per Mail informiert, dass Synology wohl schon etwas gefixt, aber noch nicht freigegeben habe. Denn er hat ein Support-Ticket bei diesem Anbieter eröffnet.
Die Frage ist, warum der Hersteller nicht einen Fix schneller hinbekommt, denn eigentlich sollten bei so etwas ja die Alarmglocken läuten und ein Update zum Schließen der Schwachstellen sollte zeitnah herausgegeben werden.