أقسام الوصول السريع ( مربع البحث )

أخر الاخبار

يعمل QNAP على تصحيح عيوب OpenSSL التي تؤثر على أجهزة NAS الخاصة به

يعمل QNAP على تصحيح عيوب OpenSSL التي تؤثر على أجهزة NAS الخاصة به
قال QNAP ، صانع أجهزة التخزين المتصل بالشبكة (NAS) ، إنه يحقق حاليًا في عيبين أمنيين تم تصحيحهما مؤخرًا في OpenSSL لتحديد تأثيرهما المحتمل ، مضيفًا أنه سيصدر تحديثات أمنية في حالة تعرض منتجاته للخطر.

تم تتبعها كـ CVE-2021-3711 (درجة CVSS: 7.5) و CVE-2021-3712 (درجة CVSS: 4.4) ، تتعلق نقاط الضعف بتدفق المخزن المؤقت عالي الخطورة في وظيفة فك تشفير SM2 ومشكلة تجاوز المخزن المؤقت عند معالجة سلاسل ASN.1 يمكن أن يسيء الخصوم استخدامها لتشغيل تعليمات برمجية عشوائية ، أو التسبب في شرط رفض الخدمة ، أو يؤدي إلى الكشف عن محتويات الذاكرة الخاصة ، مثل المفاتيح الخاصة ، أو النص العادي الحساس -

  • CVE-2021-3711 - تجاوز المخزن المؤقت لفك تشفير OpenSSL SM2

  • CVE-2021-3712 - قراءة عمليات تجاوز المخزن المؤقت لمعالجة سلاسل ASN.1

"قد يتسبب المهاجم الضار القادر على تقديم محتوى SM2 لفك التشفير إلى تطبيق ما في أن تتسبب البيانات التي اختارها المهاجم في تجاوز سعة المخزن المؤقت بحد أقصى 62 بايت ، مما يؤدي إلى تغيير محتويات البيانات الأخرى المحفوظة بعد المخزن المؤقت ، مما قد يؤدي إلى تغيير سلوك التطبيق أو التسبب في تطبيق التعطل "، وفقًا للاستشارة الخاصة بـ CVE-2021-3711.

OpenSSL ، مكتبة تشفير مفتوحة المصدر مستخدمة على نطاق واسع توفر اتصالات مشفرة باستخدام Secure Sockets Layer (SSL) أو Transport Layer Security (TLS) ، عالجت المشكلات في إصدارات OpenSSL 1.1.1l و 1.0.2za التي تم شحنها في 24 أغسطس.

في غضون ذلك ، أكدت NetApp يوم الثلاثاء أن العيوب تؤثر على المنتجات التالية ، بينما تواصل تقييم بقية تشكيلتها -

  • البيانات المجمعة ONTAP

  • /البيانات المجمعة ONTAP Antivirus Connector

  • برنامج وحدة التحكم في نظام التشغيل SANtricity OS من الفئة E 11.x

  • NetApp Manageability SDK

  • مزود NetApp SANtricity SMI-S

  • عقدة إدارة NetApp SolidFire & HCI

  • تشفير تخزين NetApp

يأتي التطوير بعد أيام من كشف صانع NAS Synology أيضًا أنه فتح تحقيقًا في عدد من النماذج ، بما في ذلك DSM 7.0 و DSM 6.2 و DSM UC و SkyNAS و VS960HD و SRM 1.2 و VPN Plus Server و VPN Server ، للتحقق مما إذا كانوا تتأثر بنفس العيبين.

منع خروقات البيانات
"تسمح الثغرات الأمنية المتعددة للمهاجمين عن بُعد بتنفيذ هجوم [هجمات] رفض الخدمة أو ربما تنفيذ تعليمات برمجية عشوائية عبر إصدار حساس من Synology DiskStation Manager (DSM) أو Synology Router Manager (SRM) أو VPN Plus Server أو خادم VPN ،" وقالت الشركة التايوانية في استشاري.

أصدرت الشركات الأخرى التي تعتمد منتجاتها على OpenSSL أيضًا نشرات أمنية ، بما في ذلك -

  • ديبيان

  • ريد هات ( CVE-2021-3711 ، CVE-2021-3712 )

  • SUSE ( CVE-2021-3711 ، CVE-2021-3712 ) ، و

  • Ubuntu ( CVE-2021-3711 ، CVE-2021-3712 ).

المصادر:
  • The Hacker News
تعليقات



حجم الخط
+
16
-
تباعد السطور
+
2
-