NAS und Sicherheit: Qnap und Synology von OpenSSL-Lücke betroffen

Produkte beider NAS-Hersteller sind von einer bereits geschlossenen OpenSSL-Lücke betroffen. Sie arbeiten an einem Fix.

Artikel veröffentlicht am ,
Qnaps NAS-Systeme sind noch von der OpenSSL-Lücke betroffen.
Qnaps NAS-Systeme sind noch von der OpenSSL-Lücke betroffen. (Bild: Oliver Nickel/Golem.de)

Qnap und Synology sind beide von vor Kurzem geschlossenen Sicherheitslücken in OpenSSL betroffen. Die NAS-Betriebssysteme der Hersteller verwenden das Protokoll für die Verschlüsselung von Datenübertragungen. Qnap und Synology bestätigen unabhängig voneinander, dass die Lücken CVE-2021-3711 und CVE-2021-3712 bei ihnen noch ausgenutzt werden könnten. Es soll jeweils ein Fix kommen, der das Problem behebt.

Stellenmarkt
  1. SAP WM/EWM Berater (m/w/x)
    über duerenhoff GmbH, Raum Kassel
  2. SAP Job als FICO Berater (m/w/x)
    über duerenhoff GmbH, Hannover
Detailsuche

In OpenSSL existieren die beiden Out-of-Bounds-Lücken (CVE-2021-3711 und CVE-2021-3712), die durch einen Pufferüberlauf beim Entschlüsseln von Daten ausgenutzt werden können. Potentielle Angreifer können so Daten aus der Ferne manipulieren. Die Lücken wurden Ende August 2021 vom OpenSSL-Team geschlossen. In Version 1.1.1l sollten sie nun nicht mehr ausnutzbar sein.

Bug in HBS3 und Diskstationmanager

Bei Qnap-Produkten wird die Komponente Hybrid Backup Sync 3 (HBS 3) als potentielle Schwachstelle genannt. Die Software scheint noch eine ältere und ungepatchte Version von OpenSSL zu verwenden. "Qnap untersucht den Fall gründlich. Wir werden sobald wie möglich Sicherheitsupdates und weitere Informationen zur Verfügung stellen", schreibt das Unternehmen in einem Sicherheitshinweis (via Caschys Blog). Eventuell ist es möglich, die Lücke durch Abschalten von HBS 3 erst einmal provisorisch zu schließen, bis es eine offizielle Lösung gibt.

Synology verwendet OpenSSL ebenfalls im eigenen Betriebssystem Diskstationmanager - laut Caschys Blog in Version 7 stärker als in Version 6.2. OpenSSL wird hier etwa vom VPN-Server verwendet. Die zwei Sicherheitslücken werden mit hoher und mittlerer Gefährlichkeit eingestuft, sollten also in möglichst kurzer Zeit behoben werden.

Golem Karrierewelt
  1. Kubernetes Dive-in-Workshop: virtueller Drei-Tage-Workshop
    11.-13.10.2022, Virtuell
  2. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    05.-09.09.2022, virtuell
Weitere IT-Trainings

Updates sollten eigentlich ebenfalls nicht lange auf sich warten lassen, da das OpenSSL-Team mit OpenSSL 1.1.1l einen eigenen Fix veröffentlicht. Diesen in den betroffenen Modulen zu implementieren ist normalerweise einfacher, als selbst eine Lösung entwickeln zu müssen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
E-Mountainbike Graveler 29 Zoll
Aldi verkauft Mountain-E-Bike von Prophete

Aldi bietet ein sportliches E-Bike für knapp 1.000 Euro an. Das Graveler 29 Zoll ist für unwegsames Gelände und die Stadt gedacht und dabei recht leicht.

E-Mountainbike Graveler 29 Zoll: Aldi verkauft Mountain-E-Bike von Prophete
Artikel
  1. J.R.R. Tolkien: The Embracer Group kauft Der Herr der Ringe
    J.R.R. Tolkien
    The Embracer Group kauft Der Herr der Ringe

    Bis auf die Buchrechte gehört Der Herr der Ringe künftig zu The Embracer Group. Nebenbei kauft der Publisher mal wieder ein paar Spielestudios.

  2. Softwareupdate: Falsches 5G-Icon im LTE-Netz von O2 Telefónica
    Softwareupdate
    Falsches 5G-Icon im LTE-Netz von O2 Telefónica

    Plötzlich zeigten Basisstationen im gesamten Nordosten Deutschlands 5G an. Doch die Ursache war nur ein fehlerhaftes Software-Update von Telefónica.

  3. Saudi-Arabien: Feministin kommt wegen Tweets für 34 Jahre ins Gefängnis
    Saudi-Arabien
    Feministin kommt wegen Tweets für 34 Jahre ins Gefängnis

    Der Verurteilten werden feministische Tweets und Retweets zulasten gelegt, die die öffentliche Ordnung der Monarchie gestört hätten.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • 10%-Gaming-Gutschein bei eBay • Grafikkarten zu Tiefpreisen (Palit RTX 3090 Ti 1.391,98€, Zotac RTX 3090 1.298,99€, MSI RTX 3080 Ti 1.059€) • PS5 bei Amazon • HP HyperX Gaming-Maus 29€ statt 99€ • MindStar (ASRock RX 6900XT 869€) • Bester 2.000€-Gaming-PC [Werbung]
    •  /