【NAS资讯】OPENSSL爆出远程代码执行高危漏洞，影响群晖和威联通系统官方正在调查评估

漏洞报告

近日，OpenSSL项目发布安全公告，修复两个高危级别的安全漏洞，分别是一个缓冲区溢出漏洞和一个拒绝服务漏洞，攻击者可以利用这些漏洞更改应用程序的行为或使应用程序崩溃，访问私有内容例如私钥和敏感信息。这些漏洞有可能影响NAS服务商群晖DSM和威联通QTS的系统安全。

1.OpenSSL缓冲区溢出漏洞（CVE-2021-3711）

SM2解密代码中存在安全问题，第一次调用 EVP_PKEY_decrypt() 返回的明文所需的缓冲区大小的计算可能小于第二次调用所需的实际大小。当应用程序第二次使用较小的缓冲区调用 EVP_PKEY_decrypt() 时，可能会导致缓冲区溢出。恶意攻击者如果能够向应用程序提供用于解密的SM2内容，将导致攻击者选择的数据溢出缓冲区最多 62 个字节，改变缓冲区后的其它数据内容，这将改变应用程序的行为或导致应用程序崩溃，但缓冲区的位置取决于应用程序，通常是堆分配的。

影响范围

OpenSSL 1.1.1-1.1.1k

2.OpenSSL拒绝服务漏洞（CVE-2021-3712）

如果应用程序要求打印一个ASN.1结构，而该ASN.1结构包含由应用程序直接构建的ASN1_STRING，而没有以NUL结束 "data "字段，那么就会发生读取缓冲区溢出，同样的问题也可能发生在证书的名称约束处理过程中。如果恶意攻击者可以使一个应用程序直接构建一个ASN1_STRING，然后通过受影响的OpenSSL函数之一进行处理，则能够触发此漏洞，并造成拒绝服务或导致密钥或敏感信息泄露。

影响范围

OpenSSL 1.1.1-1.1.1k
OpenSSL 1.0.2-1.0.2y

作为应对措施开发团队已经推出 OPENSSL 1.0.2za 和1.1.1版进行修复，使用该软件的其他软件都需要及时升级。值得注意的是这些漏洞还影响 NAS 即网络存储制造商群晖和威联通。

威联通安全公告

威联通QNAP表示正在调查和修复：威联通发布的安全公告显示相关漏洞影响威联通附加网络存储设备 , 包括QTS操作系统和多个套件需要升级修复。例如攻击者利用 CVE-2021-3711 可导致威联通设备死机，也可以利用漏洞远程执行任意代码从而造成严重危害。而 CVE-2021-3712 则可以用来使易受攻击的应用程序发生崩溃或访问私有内容，包括存储在内存中的私密信息。威联通解释称攻击者成功利用漏洞可以在未经授权的情况下访问内存数据或运行任意代码因此影响设备的安全性。不过当前威联通尚未完成修复，威联通表示该公司正在彻底调查此问题，将尽快发布安全更新并提供更多信息等。

群晖安全公告

群晖NAS设备同样受影响：群晖发布的公告显示该公司 NAS 产品线中的多个型号受漏洞影响 , 包括最新的DSM7.0和DSM旧版本，攻击者同样可以利用漏洞远程执行任意代码。例如DSM7.0版、DSM6.2旧版本、DSM UC、SkyNAS、VS960HD、SRM 1.2、VPN Server、VPN Plus Server等。为了保护用户数据安全，当前群晖尚未对上述漏洞发布更详细的报告，其安全团队表示正在调查并处理该漏洞，并将在修复版本发布后公布相关信息。目前尚未发现有攻击者利用这些漏洞发起攻击，用户只需耐心等待后续安全更新即可。

目前根据威联通的安全公告，威联通正在调查并且会发布相关安全更新。而坏消息是群晖虽然正在对相关漏洞进行调查和评估，但是却尚未发布安全更新，其安全团队表示暂时也无法披露更多细节。不过好消息是，尚未发现有攻击者利用这些漏洞发起攻击，所以对用户来说只需耐心等待后续安全更新即可。如果对加密要求比较高的用户，NAS迷小弟建议大家开启系统自动更新功能，这样发布安全更新补丁后设备可以第一时间进行升级。