![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
In OpenSSL war ja k\u00fcrzlich eine kritische Schwachstelle entdeckt worden, die sich auf viele Software-Produkte auswirkt. Eigentlich m\u00fcsste jetzt eine Reihe Software-Anbieter wie Acronis, Qnap, Synology etc. Software-Updates zum Schlie\u00dfen der Schwachstelle anbieten. Aber abseits der Linux-Anbieter l\u00e4uft das wohl recht schleppend an.<\/p>\n
<\/p>\n
In OpenSSL gibt es zwei Schwachstellen CVE-2021-3711 und CVE-2021-3712. Die Schwachstelle CVE-2021-3711 besitzt eine CVE-Score von 8.1 und wird als Important eingestuft. Ein Fehler in der Implementierung des SM2-Entschl\u00fcsselungscodes kann zu einem Puffer\u00fcberlauf in den betreffenden Routinen f\u00fchren. Ein Angreifer k\u00f6nnte \u00fcber entsprechend manipulierte Inhalte einen Puffer\u00fcberlauf provozieren, der zu einem Absturz der Anwendung f\u00fchrt.<\/p>\n
Die Schwachstelle CVE-2021-3712 wird dagegen als moderat eingestuft. Hier f\u00fchrt die Datenstruktur zur Implementierung von\u00a0 ASN.1-Strings dazu, dass ein Angreifer einen Puffer\u00fcberlauf erzeugen kann. Dies erm\u00f6glicht die Anwendung im Rahmen eines Denial of Service-Angriffs gezielt durch manipulierte Datenpakete zum Absturz zu bringen. Die OpenSSL-Entwickler haben ein Sicherheitsupdate in Form der Version 1.1.1k<\/a> ver\u00f6ffentlicht, um die Schwachstellen CVE-2021-3711 und CVE-2021-3712 zu schlie\u00dfen.<\/p>\n Ich hatte im Blog-Beitrag Synology warnt vor OpenSSL-Schwachstelle bei Produkten (26. August 2021)<\/a> berichtet, dass sich zumindest Synology als betroffen ansieht. \u00dcber folgendem Tweet<\/a> habe ich auch gesehen, dass Qnap da betroffen ist.<\/p>\n Gem\u00e4\u00df diesem Artikel<\/a> der Kollegen von heise untersuchen die beiden Hersteller, wie sie betroffen sind und wie man die Produkte mit Sicherheitsupdates versorgen kann.<\/p>\n Die Frage, die mich momentan umtreibt, ist, wie es bei anderen Software-Herstellern ausschaut. In vielen Produkten ist OpenSSL ja integriert. Spontan fallen mir Acronis mit seinen Backup-L\u00f6sungen oder Citrix mit dem NetScaler ein. Bei einer kurzen Suche konnte ich da noch nichts finden. Falls euch ein Patch zum Schlie\u00dfen der Schwachstellen bekannt ist, k\u00f6nnt ihr ja einen Kommentar hinterlassen.<\/p>\n Erg\u00e4nzung: Zu QNAP, siehe\u00a0OpenSSL-Patches f\u00fcr QNAP (15.10.2021)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":" In OpenSSL war ja k\u00fcrzlich eine kritische Schwachstelle entdeckt worden, die sich auf viele Software-Produkte auswirkt. Eigentlich m\u00fcsste jetzt eine Reihe Software-Anbieter wie Acronis, Qnap, Synology etc. Software-Updates zum Schlie\u00dfen der Schwachstelle anbieten. Aber abseits der Linux-Anbieter l\u00e4uft das wohl … Weiterlesen Qnap und Synology wollen vielleicht patchen<\/h2>\n
![\"OpenSSL](\"https:\/\/i.imgur.com\/qEbHSC4.png\" "\\"OpenSSL")
<\/a><\/p>\nUnd was ist mit anderen Produkten?<\/h2>\n