Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Hardware & Software Alert! Synology: Kritische Lücken in NAS erlauben Angreifern Ausführen von Schadcode

Insgesamt vor vier Sicherheitslücken in bestimmten NAS-Geräte-Reihen warnt Synology. Davon sind drei als kritisch eingestuft und erlauben Angreifern aus dem Netzwerk, beliebigen Code auf den Geräten auszuführen. Aktualisierte Firmware, die die Schwachstellen schließt, steht bereit.

Out-of-Band-Management​

Die drei kritischen Sicherheitslücken finden sich im Out-of-Bands-Management (OOB) der NAS-Geräte. Beim Entschlüsseln von Paketen könnten die Grenzen eines Puffers überschrieben werden (CVE-2022-27624, CVSS 10, Risiko "kritisch"). Solch ein Pufferüberlauf könnte ebenso bei der Verarbeitung von Nachrichten auftreten (CVE-2022-27625, CVSS 10, kritisch).

Bei der Ausführung mit geteilten Ressourcen könnte eine unzureichende Synchronisierung zu einer sogenannten Race Condition führen, was Angreifern ebenfalls das Ausführen beliebiger Befehle ermöglicht (CVE-2022-27626, CVSS 10, kritisch). Weniger schlimm mutet da der Fehler in der Session-Verarbeitung des OOB an, der Zugriffe außerhalb seiner Speichergrenzen und somit den Abfluss vertraulicher Informationen ermöglicht (CVE-2022-3576, CVSS 5.3, mittel).
Betroffen sind laut der Synology-Meldung die Geräte der Baureihen DS3622xs+, FS3410 und HD6500. Für diese Geräte steht die Diskstation-Manager-Software in Version 7.1.1-42962-2 zur Verfügung, die die Sicherheitslecks stopft. Administratoren sollten die Updates zügig herunterladen und installieren.
Um die aktualisierte Firmware einzuspielen, sollen Administratoren die .pat-Datei, die das Update enthält, von der Downloadseite von Synology passend zu ihrem Gerät und der installierten Version auswählen und herunterladen. In der Benutzeroberfläche des Gerätes muss nun die Seite "Manuelle DSM-Aktualisierung" aufgerufen und dort mit Klick auf "Durchsuchen" die .pat-Datei ausgewählt werden. Anschließend startet die Aktualisierung durch die Auswahl von "Anwenden".

Zuletzt hatte Synology Sicherheitslücken abzudichten, die auf das netatalk-Protokoll zurückgingen.
Quelle: heise
 
Zurück
Oben