Wins Security Information

보안 동향

앞 내용 보기 다음 내용 보기
보안 동향OpenSSL RCE 취약점에 영향을 받는 Synology 제품
작성일 2021-08-27 조회 741

Synology: Multiple products impacted by OpenSSL RCE vulnerability

 

 

타이완 기반 NAS 제조사 Synology는 최근 공개된 RCE, DOS openSSL 취약점이 Synology의 몇몇 제품에 영향을 미친다고 밝혔다.


Synology는 공개된 보안 권고에서 "원격 공격자는 여러 취약점을 악용해 DoS 공격을 수행하거나 Synology DiskStation Manager(DSM), Synology Router Manager(SRM), VPN Plus Server/VPN Server의 취약한 버전을 통해 임의의 코드를 실행할 수 있다."라고 설명했다.


CVE-2021-3711과 CVE-2021-3712에 영향을 받는 장치 목록에는 DSM 7.0, DSM 6.2, DSM UC, SkyNAS, VS960HD, SRM 1.2, VPN Plus Server, VPN Server가 포함된다. 


첫 번째 버그는 SM2 암호 알고리즘에서의 힙 오버플로우로 인해 발생하는데, 이 취약점은 크래시 뿐만 아니라 임의 코드 실행에도 악용될 수 있다.


두 번째는 ASN.1 문자열 처리를 하는 동안 발생할 수 있는 read buffer overrun 취약점이다. 이 취약점은 DoS 공격에서 취약한 앱을 크래시하거나 프라이빗 메모리 컨텐츠에 접근하는데 악용될 수 있다.


OpenSSL 개발팀이 8월 24일 두 개의 취약점을 수정한 OpenSSL 1.1.1l을 공개했지만, Synology는 영향을 받는 제품에 대한 릴리즈는 진행 중이거나 보류 중이라고 밝혔다. Synology는 이 업데이트에 대한 예상 일정을 제공하지 않았지만, 이달 초 BleepingComputer에 일반적으로 권고를 게시한 후 90일 이내에 영향을 받는 소프트웨어를 패치한다고 밝혔다.

 

 

 

 


출처
https://www.bleepingcomputer.com/news/security/synology-multiple-products-impacted-by-openssl-rce-vulnerability/

첨부파일 첨부파일이 없습니다.
태그 OpenSSL  CVE-2021-3711  CVE-2021-3712