安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。
QNAP开发安全更新以解决由OpenSSL造成的远程代码执行 (RCE) 和拒绝服务 (DoS) 漏洞(8月30日)
被标记为CVE-2021-3711和CVE-2021-3712的两个安全漏洞严重影响了QTS、QuTS hero、QuTScloud和HBS 3 Hybrid Backup Sync(备份和灾难恢复应用程序)这些型号的威联通NAS 设备。
详细信息:
CVE-2021-3711是SM2加密算法中基于堆的缓冲区溢出漏洞, 攻击者通过此漏洞可能导致应用程序崩溃,也可能滥用它以执行任意代码。漏洞CVE-2021-3712是由处理 ASN.1字符串时的读取缓冲区溢出弱点(read buffer overrun weakness)引起的。攻击者可以利用它来使易受攻击的应用程序崩溃或访问私有内存内容,例如私钥之类的敏感信息。
QNAP解释道,如果成功利用这些漏洞,远程攻击者可以在未经授权的情况下访问内存数据,触发拒绝服务 (DoS) 状态,或在运行HBS 3应用程序的用户的权限下运行任意代码。
虽然OpenSSL开发团队在一周前发布了OpenSSL 1.1.1l 来解决这些漏洞,但QNAP并没有发布官方安全更新的预计到达时间。不过,该公司确实表示正在“彻底调查此事”,并“将尽快发布安全更新并提供更多信息”。
参考链接:
https://www.bleepingcomputer.com/news/security/qnap-works-on-patches-for-openssl-bugs-impacting-its-nas-devices/
