Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향QNAP, NAS 장비와 관련된 OpenSSL 버그 관련 이슈를 해결을 위해 작업하고 있다
작성일 2021-08-31 조회 12

QNAP works on patches for OpenSSL bugs impacting its NAS devices

 

 

NAS 제조업체 QNAP은 지난 주 OpenSSL에서 패치된 RCE 취약점과 DoS 취약점을 해결한 보안 업데이트를 조사하고 작업하고 있다.


오늘 게시된 권고에 따르면 CVE-2021-3711과 CVE-2021-3712은 QTS, QuTS hero, QuTScloud, HBS 3 Hybrid Backup Sync(백업 및 재해 복구 응용 프로그램)을 실행하는 QNAP NAS 장치에 영향을 준다.


CVE-2021-3711 취약점은 SM2 암호화 알고리즘 의 힙 기반 버퍼 오버플로우로, 공격자가 이를 악용하면 크래시 뿐만 아니라 임의 코드 실행을 할 수 있다.


CVE-2021-3712 취약점은 ASN.1 문자열을 처리하는 동안 읽기 버퍼 오버런 취약점으로 인해 발생한다. 위협 행위자는 이를 악용하여 취약한 앱을 크래시하거나 개인 키 또는 유사한 민감한 정보와 같은 개인 메모리 콘텐츠에 액세스할 수 있다.


QNAP의 설명에 따르면 원격 공격자가 취약점 악용에 성공하면 승인 없이 메모리 데이터에 액세스하거나 DoS(서비스 거부) 상태를 트리거하거나 HBS 3 앱을 실행하는 사용자의 권한으로 임의 코드를 실행할 수 있다.


OpenSSL 개발팀은 일주일 전에 결함을 해결하기 위해 OpenSSL 1.1.1l 을 게시 했지만, 8월 24일 QNAP은 예정된 보안 업데이트의 릴리즈 예정 날짜를 제공하지 않았다. 하지만 QNAP은 "이번 이슈를 철저히 조사하고 있다"며 "최대한 빠른 시일 내에 보안 업데이트를 공개하고 추가 정보를 제공하겠다"고 말했다.

 

 

 

 


출처
https://www.bleepingcomputer.com/news/security/qnap-works-on-patches-for-openssl-bugs-impacting-its-nas-devices/

첨부파일 첨부파일이 없습니다.
태그 CVE-2021-3711  CVE-2021-3712  QNAP  OpenSSL