Insgesamt vor vier Sicherheitslücken in bestimmten NAS-Geräte-Reihen warnt Synology. Davon sind drei als kritisch eingestuft und erlauben Angreifern aus dem Netzwerk, beliebigen Code auf den Geräten auszuführen. Aktualisierte Firmware, die die Schwachstellen schließt, steht bereit.
Bei der Ausführung mit geteilten Ressourcen könnte eine unzureichende Synchronisierung zu einer sogenannten Race Condition führen, was Angreifern ebenfalls das Ausführen beliebiger Befehle ermöglicht (CVE-2022-27626, CVSS 10, kritisch). Weniger schlimm mutet da der Fehler in der Session-Verarbeitung des OOB an, der Zugriffe außerhalb seiner Speichergrenzen und somit den Abfluss vertraulicher Informationen ermöglicht (CVE-2022-3576, CVSS 5.3, mittel).
Betroffen sind laut der Synology-Meldung die Geräte der Baureihen DS3622xs+, FS3410 und HD6500. Für diese Geräte steht die Diskstation-Manager-Software in Version 7.1.1-42962-2 zur Verfügung, die die Sicherheitslecks stopft. Administratoren sollten die Updates zügig herunterladen und installieren.
Um die aktualisierte Firmware einzuspielen, sollen Administratoren die .pat-Datei, die das Update enthält, von der Downloadseite von Synology passend zu ihrem Gerät und der installierten Version auswählen und herunterladen. In der Benutzeroberfläche des Gerätes muss nun die Seite "Manuelle DSM-Aktualisierung" aufgerufen und dort mit Klick auf "Durchsuchen" die .pat-Datei ausgewählt werden. Anschließend startet die Aktualisierung durch die Auswahl von "Anwenden".
Zuletzt hatte Synology Sicherheitslücken abzudichten, die auf das netatalk-Protokoll zurückgingen.
Quelle: heise
Out-of-Band-Management
Die drei kritischen Sicherheitslücken finden sich im Out-of-Bands-Management (OOB) der NAS-Geräte. Beim Entschlüsseln von Paketen könnten die Grenzen eines Puffers überschrieben werden (CVE-2022-27624, CVSS 10, Risiko "kritisch"). Solch ein Pufferüberlauf könnte ebenso bei der Verarbeitung von Nachrichten auftreten (CVE-2022-27625, CVSS 10, kritisch).Bei der Ausführung mit geteilten Ressourcen könnte eine unzureichende Synchronisierung zu einer sogenannten Race Condition führen, was Angreifern ebenfalls das Ausführen beliebiger Befehle ermöglicht (CVE-2022-27626, CVSS 10, kritisch). Weniger schlimm mutet da der Fehler in der Session-Verarbeitung des OOB an, der Zugriffe außerhalb seiner Speichergrenzen und somit den Abfluss vertraulicher Informationen ermöglicht (CVE-2022-3576, CVSS 5.3, mittel).
Betroffen sind laut der Synology-Meldung die Geräte der Baureihen DS3622xs+, FS3410 und HD6500. Für diese Geräte steht die Diskstation-Manager-Software in Version 7.1.1-42962-2 zur Verfügung, die die Sicherheitslecks stopft. Administratoren sollten die Updates zügig herunterladen und installieren.
Um die aktualisierte Firmware einzuspielen, sollen Administratoren die .pat-Datei, die das Update enthält, von der Downloadseite von Synology passend zu ihrem Gerät und der installierten Version auswählen und herunterladen. In der Benutzeroberfläche des Gerätes muss nun die Seite "Manuelle DSM-Aktualisierung" aufgerufen und dort mit Klick auf "Durchsuchen" die .pat-Datei ausgewählt werden. Anschließend startet die Aktualisierung durch die Auswahl von "Anwenden".
Zuletzt hatte Synology Sicherheitslücken abzudichten, die auf das netatalk-Protokoll zurückgingen.
Quelle: heise