Du musst Regestriert sein, um das angehängte Bild zusehen.
Synology hat schon einmal eine kleine Warnung herausgegeben (Security Advisory Synology-SA-21:24) – und zahlreiche Hersteller müssten eigentlich bald folgen. In OpenSSL wurde eine Schwachstelle entdeckt, die mittlerweile mit Version 1.1.1l geschlossen wurde. OpenSSL wird oft zur Implementierung der Protokolle Transport Layer Security (TLS) und Secure Sockets Layer (SSL) verwendet, die verschlüsselte Netzwerkverbindungen unterstützen. Groß in die Medien kam OpenSSL 2014 mit der Heartbleed genannten Lücke – so lange ist das schon her.
Ein böswilliger Angreifer, der in der Lage ist, einer Anwendung SM2-Inhalte zur Entschlüsselung vorzulegen, könnte bewirken, dass die vom Angreifer ausgewählten Daten den Puffer um bis zu 62 Byte überlaufen lassen und den Inhalt anderer Daten, die nach dem Puffer gehalten werden, verändern, wodurch sich möglicherweise das Verhalten der Anwendung ändert oder die Anwendung zum Absturz gebracht wird. Der Ort des Puffers ist anwendungsabhängig, wird aber typischerweise im Heap allokiert. Behoben in OpenSSL 1.1.1l (Betroffen sind 1.1.1-1.1.1k).
Bei Synology arbeitet man nach eigenen Angaben auch an einem Fix, der Schweregrad der Lücke sei unter dem DiskStationManager 7 (DSM 7) höher als unter DSM 6.2. Mehrere Schwachstellen erlauben entfernten Angreifern, Denial-of-Service-Angriffe durchzuführen oder beliebigen Code über eine anfällige Version von Synology DiskStation Manager (DSM), Synology Router Manager (SRM), VPN Plus Server oder VPN Server auszuführen. Betrifft logischerweise nur Geräte mit direkter Verbindung ins „offene Netz“. Sobald sich da an der Update-Front etwas tut, geben wir noch einmal Bescheid. Hersteller wie QNAP werden vermutlich bald ähnliche Meldungen herausgeben.
Quelle: Caschys Blog
Anhänge
Du musst angemeldet sein, um die Anhangsliste zu sehen.
