OpenSSL-Lecks in Synology- und Qnap-NAS

Die NAS-Betriebssysteme von Synology und Qnap setzen bei der verschlüsselten Datenübertragung auf OpenSSL. Bis vor Kurzen litt OpenSSL unter den zwei Sicherheitslücken CVE-2021-3711 und CVE-2021-3712, die es Angreifern durch einen Buffer Overflow erlaubten, Daten per Remote-Zugriff zu manipulieren. Inzwischen haben die OpenSSL-Entwickler diese Lecks geschlossen.


Dies gilt jedoch nicht für die OpenSSL-Implementation in den NAS-OS von Synology und Qnap, wie die Hersteller selbst einräumen. So merkt etwa Qnap in einem Sicherheitshinweis an, die Angelegenheit werde noch untersucht (Stand Ende August 2021). Betroffen ist hier die OS-Komponente Hybrid Backup Sync 3. Auch Synology arbeitet noch an einem Fix für sein NAS-OS Disk Station Manager sowie für die Komponenten Router Manager (SRM), VPN Plus Server und VPN Server ("Swiss IT Magazine" hat darüber bereis berichtet). Betroffen sind allerdings bei beiden Herstellern nur NAS-Systeme, die vom Internet aus zugänglich sind. (ubi)