QNAP está trabajando para solucionar los errores de OpenSSL que afectan a sus dispositivos NAS

OpenSSL de QNAP

El fabricante de almacenamiento conectado a la red (NAS) QNAP dijo que actualmente estaba investigando dos vulnerabilidades recientemente reparadas en OpenSSL para determinar su impacto potencial, y agregó que lanzaría actualizaciones de seguridad si sus productos demostraran ser vulnerables.

Observadas como CVE-2021-3711 (puntuación CVSS: 7,5) y CVE-2021-3712 (puntuación CVSS: 4,4), las deficiencias se relacionan con un desbordamiento de búfer muy grave en la función de descifrado SM2 y un problema de desbordamiento de búfer durante el procesamiento de cadenas ASN.1 que podrían ser explotados por los adversarios para ejecutar código arbitrario, provocar la denegación de servicio o dar lugar a la divulgación de contenidos de memoria privada, como claves privadas o texto sin formato confidencial:

«Un atacante malintencionado que pueda presentar contenido SM2 a la aplicación para descifrarlo podría hacer que los datos seleccionados por el atacante desborden el búfer hasta en 62 bytes y alteren el contenido de otros datos almacenados en caché, o cambien el comportamiento de la aplicación o hagan que la aplicación bloqueo.» como se recomienda para CVE-2021-3711.

OpenSSL, una biblioteca criptográfica de código abierto ampliamente utilizada que proporciona conexiones cifradas utilizando Secure Sockets Layer (SSL) o Transport Layer Security (TLS), solucionó problemas en OpenSSL 1.1.1l y 1.0.2za que se enviaron el 24 de agosto.

Mientras tanto, NetApp confirmó el martes que las deficiencias afectan a muchos de sus productos, mientras continúa evaluando el resto de su gama –

  • Datos ONTAP agrupados
  • Conector antivirus ONTAP de datos agrupados
  • Controlador SANtricity serie E Serie E 11.x
  • SDK de capacidad de administración de NetApp
  • Proveedor NetApp SANtricity SMI-S
  • Nodo de gestión de HCI y SolidFire de NetApp
  • Cifrado de almacenamiento de NetApp

El desarrollo sigue días después de que el fabricante de NAS, Synology, también anunciara que inició una investigación sobre varios modelos, incluidos DSM 7.0, DSM 6.2, DSM UC, SkyNAS, VS960HD, SRM 1.2, VPN Plus Server y VPN Server, para verificar que sean afectado por los mismos dos errores.

«Múltiples vulnerabilidades permiten a los atacantes remotos realizar un ataque de denegación de servicio[s] o ejecutar cualquier código a través de una versión sensible de Synology DiskStation Manager (DSM), Synology Router Manager (SRM), VPN Plus Server o VPN Server”, señaló la compañía taiwanesa en un comunicado.

Otras empresas cuyos productos se basan en OpenSSL también han emitido boletines de seguridad, entre ellos:

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática