Der taiwanische NAS-Hersteller
Synology warnt vor sicherheitsrelevanten Schwachstellen in einer ganzen Reihe von Produkten. Wie der Hersteller in einem
Security Advisory mitteilt, erlauben es die verschiedenen Schwachstellen einem möglichen Angreifer, Denial-of-Service-Angriffe zu initialisieren oder beliebigen Code auszuführen. Konkret geht es um die beiden Sicherheitslücken CVE-2021-3711 und CVE-2021-3712. Erstere wird durch einen Speicherüberlauf im SM2-Verschlüsselungsalgorithmus verursacht und kann für die Code-Ausführung missbraucht werden, während die zweite bei der Verarbeitung von ASN.1.-Strings ebenfalls einen Pufferüberlauf verursacht.
Konkret betroffen sind die Produkte Diskstation Manager in den Versionen 7.0, 6.2 sowie UC, SkyNAS, Visualstation VS960HD, Router Manager 1.2, VPN Server sowie VPN Plus Server. Die Schwachstellen beim DSM 7.0 und VPN Plus Server werden als wichtig, alle anderen als moderat eingestuft.
Zwar hat das OpenSSL-Entwicklerteam für beide Fehler ein Update veröffentlicht, doch wurde dieses von Synology bis anhin noch nicht implementiert und es stehen bis anhin noch keine Updates zur Verfügung.
(rd)
