群晖科技：OpenSSL漏洞波及该公司多项产品

开源的安全通讯软件函式库OpenSSL在24日修补了CVE-2021-3711与CVE-2021-3712两个安全漏洞，台湾网络附加储存（NAS）制造商群晖科技（Synology）很快就警告，该公司有多款NAS及VPN产品受到这两个漏洞的影响，并正着手修补中。

其中的CVE-2021-3711为一SM2加密缓冲区溢位漏洞，成功的开采将允许骇客变更应用程序的行为或造成应用程序当掉，其CVSS风险评分为8.1。而CVE-2021-3712则是因假定ASN.1字串是以NUL结束，骇客若迫使应用程序呼叫一个函数，故意使用非以NUL结束的字串，就能触发该漏洞，导致应用程序当掉或揭露内存中的资讯，其CVSS风险评分为5.3。

群晖表示，受到这两个漏洞影响的产品包括不同版本的DiskStation Manager（DSM）与Synology Router Manager（SRM），以及虚拟网络服务器VPN Plus Server与VPN Server（如下图所示）。其中，DSM为Synology NAS 专用的操作系统，Synology Router Manager则是Synology路由器操作系统，目前该公司正在修补受到波及的平台。

图片撷取自群晖科技官方网站（截图时间：8月27日 16:44）

除了群晖的产品之外，红帽也有多个产品受到这两个漏洞的波及。

今年8月初，群晖才收到用户回报有异常数量的IP企图登入该公司的NAS产品，群晖的调查显示，骇客是透过暴力破解法发动攻击，并非开采系统漏洞，同时建议使用者强化账号权限与密码设定。

其实群晖自2017年就推出抓漏奖励专案，截至今年3月，已与超过200名的资安研究人员或组织合作，所颁发的奖金超过25万美元。