QNAP 正在开发影响其 NAS 设备的 OpenSSL 漏洞的补丁

网络附加存储 (NAS) 设备制造商 QNAP 表示，它目前正在 调查OpenSSL 中最近修补的两个安全漏洞，以确定它们的潜在影响，并补充说，如果其产品容易受到攻击，它将发布安全更新。

跟踪为 CVE-2021-3711（CVSS 分数：7.5）和 CVE-2021-3712（CVSS 分数：4.4），这些弱点涉及 SM2 解密函数中的高严重性缓冲区溢出和处理 ASN.1 字符串时的缓冲区溢出问题可能被攻击者滥用以运行任意代码，导致拒绝服务条件，或导致私人内存内容泄露，例如私钥或敏感的明文——

• CVE-2021-3711 – OpenSSL SM2 解密缓冲区溢出
• CVE-2021-3712 – 读取缓冲区溢出处理 ASN.1 字符串

“能够向应用程序提供用于解密的 SM2 内容的恶意攻击者可能会导致攻击者选择的数据溢出缓冲区最多 62 个字节，从而改变缓冲区后保存的其他数据的内容，可能会改变应用程序行为或导致应用程序崩溃”，根据 CVE-2021-3711 的建议。

OpenSSL 是一个广泛使用的开源加密库，它使用安全套接字层 (SSL) 或传输层安全性 (TLS) 提供加密连接，解决了8 月 24 日发布的 OpenSSL 1.1.1l 和 1.0.2za 版本中的问题。

与此同时，NetApp 周二确认这些缺陷影响了以下产品，同时继续评估其其余产品阵容——

• 集群模式 Data ONTAP
• 集群模式 Data ONTAP 防病毒连接器
• E 系列 SANtricity OS 控制器软件 11.x
• NetApp 可管理性 SDK
• NetApp SANtricity SMI-S 提供商
• NetApp SolidFire 和 HCI 管理节点
• NetApp 存储加密

几天前，NAS 制造商 Synology 还透露已对多种型号展开调查，包括 DSM 7.0、DSM 6.2、DSM UC、SkyNAS、VS960HD、SRM 1.2、VPN Plus Server 和 VPN Server，以检查它们是否受到同样的两个缺陷的影响。

“多个漏洞允许远程攻击者进行拒绝服务攻击 [s] 或可能通过易受攻击的 Synology DiskStation Manager (DSM)、Synology Router Manager (SRM)、VPN Plus Server 或 VPN Server 版本执行任意代码，”台湾公司说，在咨询。

其他产品依赖 OpenSSL 的公司也发布了安全公告，包括——

• Debian
• 红帽（CVE-2021-3711、CVE-2021-3712）
• SUSE（CVE-2021-3711、CVE-2021-3712）
• Ubuntu（CVE-2021-3711、CVE-2021-3712）