Warten auf OpenSSL-Patch: Qnap und Synology wollen NAS absichern
(Bild: Tatiana Popova/Shutterstock.com)
Die Hersteller von Netzwerkspeichern Qnap und Synology untersuchen derzeit, in welchem Umfang ihre Geräte von OpenSSL-Lücken betroffen sind.
Wer einen Netzwerkspeicher (NAS) von Qnap oder Synology besitzt, sollte Ausschau nach aktuellen Sicherheitsupdates halten. Geräte von beiden Herstellern sind von zwei Sicherheitslücken in der Krypto-Bibliothek OpenSSL [1] betroffen. Wann die Patches erscheinen sollen, ist bislang unklar.
Die OpenSSL-Entwickler haben die beiden Schwachstellen (CVE-2021-3711 "hoch", CVE-2021-3712 "mittel") in den Versionen 1.1.1l und 1.0.2za geschlossen. Aufgrund von Fehlern bei der Implementierung vom SM2-Algorithmus zum Verschlüsseln von Daten könnten Angreifer Anwendungsdaten manipulieren. Einer Warnmeldung von Qnap zufolge [2] könnten sie sogar Schadcode ausführen. Auch DoS-Attacken sind vorstellbar. Davon sind Qnap NAS mit den Systemen QTS, QuTS hero, QuTScloud und HBS 3 betroffen.
Auch Synology bestätigt in einem Beitrag [3], dass das NAS-Betriebssystem DiskStation Manager, Synology Router Manager und VPN Plus Server oder VPN Server von den OpenSSL-Lücken betroffen sind. Hier ist ebenfalls noch unklar, wann die Updates erscheinen.
(des [4])
URL dieses Artikels:
https://www.heise.de/-6179134
Links in diesem Artikel:
[1] https://www.heise.de/news/OpenSSL-Schwachstellen-Fix-beugt-moeglicher-Datenmanipulation-vor-6173694.html
[2] https://www.qnap.com/en-us/security-advisory/QSA-21-39
[3] https://www.synology.com/en-us/security/advisory/Synology_SA_21_24
[4] mailto:des@heise.de
Copyright © 2021 Heise Medien