![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
[English]Der Hersteller Synology hat zum 26. August 2021 eine Sicherheitswarnung f\u00fcr seine Produkte herausgegeben. Mehrere Schwachstellen erlauben Remote-Angreifern, Denial-of-Service-Angriffe durchzuf\u00fchren oder beliebigen Code \u00fcber eine anf\u00e4llige Version von Synology DiskStation Manager (DSM), Synology Router Manager (SRM), VPN Plus Server oder VPN Server auszuf\u00fchren. Aktuell scheinen noch keine Produktupdates bereits zu stehen.<\/p>\n
<\/p>\n
OpenSSL hat ein Sicherheitsupdate in Form der Version 1.1.1k<\/a> ver\u00f6ffentlicht, um zwei Schwachstellen CVE-2021-3711 und CVE-2021-3712 zu schlie\u00dfen. Die zwei Schwachstellen CVE-2021-3711 und CVE-2021-3712 in OpenSSL wirken sich auch auf die Sicherheit des Synology DiskStation Manager (DSM), Synology Router Manager (SRM), VPN Plus Server oder VPN Server aus. Blog-Leser Ralf hat eben in diesem Kommentar<\/a> auf diesen Sachverhalt hingewiesen (danke daf\u00fcr). Synology hat dazu die Sicherheitswarnung Synology-SA-21:24 OpenSSL<\/a> mit Details ver\u00f6ffentlicht. Betroffen sind folgende Software-Produkte, f\u00fcr die zum 26. August 2021 noch keine Sicherheitsupdates zur Verf\u00fcgung stehen:<\/p>\n
| Product<\/th>\n | Severity<\/th>\n | Fixed Release Availability<\/th>\n<\/tr>\n<\/thead>\n |
|---|---|---|
| DSM 7.0<\/td>\n | Important<\/td>\n | Ongoing<\/td>\n<\/tr>\n |
| DSM 6.2<\/td>\n | Moderate<\/td>\n | Ongoing<\/td>\n<\/tr>\n |
| DSM UC<\/td>\n | Moderate<\/td>\n | Ongoing<\/td>\n<\/tr>\n |
| SkyNAS<\/td>\n | Moderate<\/td>\n | Pending<\/td>\n<\/tr>\n |
| VS960HD<\/td>\n | Moderate<\/td>\n | Pending<\/td>\n<\/tr>\n |
| SRM 1.2<\/td>\n | Moderate<\/td>\n | Ongoing<\/td>\n<\/tr>\n |
| VPN Plus Server<\/td>\n | Important<\/td>\n | Ongoing<\/td>\n<\/tr>\n |
| VPN Server<\/td>\n | Moderate<\/td>\n | Ongoing<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n Die Schwachstelle CVE-2021-3711 besitzt eine CVE-Score von 8.1 und wird als Important eingestuft. Ein Fehler in der Implementierung des SM2-Entschl\u00fcsselungscodes kann zu einem Puffer\u00fcberlauf in den betreffenden Routinen f\u00fchren. Ein Angreifer k\u00f6nnte \u00fcber entsprechend manipulierte Inhalte einen Puffer\u00fcberlauf provozieren, der zu einem Absturz der Anwendung f\u00fchrt. Ob auch eine Codeausf\u00fchrung m\u00f6glich ist, dar\u00fcber wird von den OpenSLL-Entwicklern nichts ausgesagt – aber Synology m\u00f6chte dies nicht ausschlie\u00dfen.<\/p>\n Die Schwachstelle CVE-2021-3712 wird dagegen als moderat eingestuft. Hier f\u00fchrt die Datenstruktur zur Implementierung von\u00a0 ASN.1-Strings dazu, dass ein Angreifer einen Puffer\u00fcberlauf erzeugen kann. Dies erm\u00f6glicht die Anwendung im Rahmen eines Denial of Service-Angriffs gezielt durch manipulierte Datenpakete zum Absturz zu bringen. Details zu den beiden Schwachstellen lassen sich in den verlinkten Sicherheitshinweisen nachlesen.<\/p>\n","protected":false},"excerpt":{"rendered":" [English]Der Hersteller Synology hat zum 26. August 2021 eine Sicherheitswarnung f\u00fcr seine Produkte herausgegeben. Mehrere Schwachstellen erlauben Remote-Angreifern, Denial-of-Service-Angriffe durchzuf\u00fchren oder beliebigen Code \u00fcber eine anf\u00e4llige Version von Synology DiskStation Manager (DSM), Synology Router Manager (SRM), VPN Plus Server oder … Weiterlesen |