Insgesamt vor vier Sicherheitslücken in bestimmten NAS-Geräte-Reihen warnt Synology. Davon sind drei als kritisch eingestuft und erlauben Angreifern aus dem Netzwerk, beliebigen Code auf den Geräten auszuführen. Aktualisierte Firmware, die die Schwachstellen schließt, steht bereit.
Bei der Ausführung mit geteilten Ressourcen könnte eine unzureichende Synchronisierung zu einer sogenannten Race Condition führen, was Angreifern ebenfalls das Ausführen beliebiger Befehle ermöglicht (CVE-2022-27626, CVSS 10, kritisch). Weniger schlimm mutet da der Fehler in der Session-Verarbeitung des OOB an, der Zugriffe außerhalb seiner Speichergrenzen und somit den Abfluss vertraulicher Informationen ermöglicht (CVE-2022-3576, CVSS 5.3, mittel).
Betroffen sind
Um die aktualisierte Firmware einzuspielen, sollen Administratoren die .pat-Datei, die das Update enthält, von der
Zuletzt hatte
Quelle: heise
Out-of-Band-Management
Die drei kritischen Sicherheitslücken finden sich im Out-of-Bands-Management (OOB) der NAS-Geräte. Beim Entschlüsseln von Paketen könnten die Grenzen eines Puffers überschrieben werden (CVE-2022-27624, CVSS 10, Risiko "kritisch"). Solch ein Pufferüberlauf könnte ebenso bei der Verarbeitung von Nachrichten auftreten (CVE-2022-27625, CVSS 10, kritisch).Bei der Ausführung mit geteilten Ressourcen könnte eine unzureichende Synchronisierung zu einer sogenannten Race Condition führen, was Angreifern ebenfalls das Ausführen beliebiger Befehle ermöglicht (CVE-2022-27626, CVSS 10, kritisch). Weniger schlimm mutet da der Fehler in der Session-Verarbeitung des OOB an, der Zugriffe außerhalb seiner Speichergrenzen und somit den Abfluss vertraulicher Informationen ermöglicht (CVE-2022-3576, CVSS 5.3, mittel).
Betroffen sind
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
die Geräte der Baureihen DS3622xs+, FS3410 und HD6500. Für diese Geräte steht die Diskstation-Manager-Software in Version 7.1.1-42962-2 zur Verfügung, die die Sicherheitslecks stopft. Administratoren sollten die Updates zügig herunterladen und installieren.Um die aktualisierte Firmware einzuspielen, sollen Administratoren die .pat-Datei, die das Update enthält, von der
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
passend zu ihrem Gerät und der installierten Version auswählen und herunterladen. In der Benutzeroberfläche des Gerätes muss nun die Seite "Manuelle DSM-Aktualisierung" aufgerufen und dort mit Klick auf "Durchsuchen" die .pat-Datei ausgewählt werden. Anschließend startet die Aktualisierung durch die Auswahl von "Anwenden".Zuletzt hatte
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
.Quelle: heise
