安全通讯软件 OPENSSL 日前出现多个高危级别的安全漏洞,攻击者利用漏洞访问私有内容例如私钥和敏感信息。
相关安全公告 OPENSSL 开发团队已经在官网公布,涉及的漏洞编号分别是CVE-2021-3711和CVE-2021-3712。
作为应对措施开发团队已经推出 OPENSSL 1.0.2za 和1.1.1版进行修复,使用该软件的其他软件都需要及时升级。
值得注意的是这些漏洞还影响 NAS 即附加网络存储制造商群晖和威联通,群晖DSM与威联通QTS系统也受影响。
威联通QNAP表示正在调查和修复:
威联通发布的安全公告显示相关漏洞影响威联通附加网络存储设备 , 包括QTS操作系统和多个套件需要升级修复。
例如攻击者利用 CVE-2021-3711 可导致威联通设备死机,也可以利用漏洞远程执行任意代码从而造成严重危害。
而 CVE-2021-3712 则可以用来使易受攻击的应用程序发生崩溃或访问私有内容,包括存储在内存中的私密信息。
威联通解释称攻击者成功利用漏洞可以在未经授权的情况下访问内存数据或运行任意代码因此影响设备的安全性。
不过当前威联通尚未完成修复,威联通表示该公司正在彻底调查此问题,将尽快发布安全更新并提供更多信息等。
群晖NAS设备同样受影响:
群晖发布的公告显示该公司 NAS 产品线中的多个型号受漏洞影响 , 攻击者同样可以利用漏洞远程执行任意代码。
例如DSM7.0版、DSM6.2版、DSM UC、SkyNAS、VS960HD、SRM 1.2、VPN Server、VPN Plus Server等。
尽管群晖尚未对上述漏洞发布更详细的说明,不过只要是远程执行任意代码就已经可以造成非常严重的安全问题。
坏消息是群晖目前也在对相关漏洞进行调查和评估但尚未发布安全更新,其安全团队表示暂时无法披露更多细节。
好消息是就目前来说尚未发现有攻击者利用这些漏洞发起攻击,所以对用户来说只需耐心等待后续安全更新即可。
蓝点网建议使用群晖和威联通的用户开启自动更新,这样上述制造商发布安全更新后设备可以第一时间完成升级。
原创文章,作者:kepupublish,如若转载,请注明出处:https://blog.ytso.com/140433.html