PC & Internet Alert!: OpenSSL-Sicherheitslücken: QNAP und Synology arbeiten an Patches für NAS-Systeme

NAS-Systeme von QNAP und Synology sind offenbar von zwei OpenSSL-Sicherheitslücken bedroht. An Patches wird bereits gearbeitet. Diese Produkte sind gefährdet.

• NAS-Hersteller warnen vor potenziellen Sicherheitslücken in ihren Produkten.
• Betroffen sind diverse Programme von QNAP und Synology.
• Patches sind geplant, doch steht ein Veröffentlichungsdatum noch nicht fest.

Falls ihr Netzwerkspeicher (NAS) der Hersteller QNAP und Synology laufen habt, solltet ihr Ausschau nach neuen Patches halten. Zwei kürzlich in der freien Software-Bibliothek OpenSSL entdeckten Sicherheitslücken bedrohen Produkte der beiden Hersteller.
Konkret geht es um die Schwachstellen CVE-2021-3711 und CVE-2021-3712, die von Synology als "schwerwiegend" beziehungsweise "mittelschwer" eingeschätzt werden.

Laut den NAS-Hersteller QNAP könnten die Sicherheitslücken ausgenutzt werden, um DoS-Attacken vorzunehmen, Anwendungsdaten zu manipulieren, oder gar Schadcode auszuführen.

Zwar wurden die Sicherheitslücken in OpenSSL bereits geschlossen, doch müssen diese Bugfixes von QNAP und Synology noch in die eigene Software implementiert werden. Konkret wird ein Fehler bei der Implementierung des SM2-Algorithmus vermutet, der für das Verschlüsseln von Daten zuständig ist. Inwieweit dieser die Geräte der beiden Hersteller betrifft, wird aktuell geprüft.

Diese Produkte sind betroffen​

Folgende Produkte sind den beiden Herstellern zufolge von den OpenSSL-Sicherheitslücken betroffen:

• Synology DiskStation Manager
• Synology Router Manager
• Synology VPN Server
• Synology VPN Plus Server
• QNAP QTS
• QuTS hero
• QuTScloud

Leider ist noch nicht klar, wann die Patches erscheinen. Sobald sie draußen sind, werden wir den Artikel updaten.
Wer auf Nummer sicher gehen möchte, sollte die entsprechenden Geräte bis zum Erscheinen der Patches vorsichtshalber vom Netz trennen.

Quelle: netzwelt