Wer Synology-Router als VPN-Server einsetzt, muss die Software zügig aktualisieren. Eine kritische Sicherheitslücke ermöglicht Angreifern sonst Codeschmuggel.
Synology warnt kurz vor Jahresende vor einer kritischen Sicherheitslücke im VPN Plus Server. Dieser lässt sich als Zusatzsoftware auf Synology-Router installieren und verwandelt diese dann in eine VPN-Zentrale. Angreifer könnten dadurch beliebige Befehle ausführen.
Details hält Synology derzeit noch zurück: Eine Sicherheitslücke erlaubt Angreifern die Ausführung beliebiger Befehle aus der Ferne über eine anfällige Version von Synology VPN Plus Server, erläutert der Hersteller lediglich knapp. Zudem enthält die Sicherheitsmeldung noch den Hinweis, dass es keine temporäre Übergangslösung gibt. Die Lücke wurde von Kevin Wang gemeldet. Ein CVE-Eintrag scheint noch nicht reserviert zu sein. Auch ein konkreter CVSS-Score fehlt. Synology stuft die Lücke aber als kritisch ein.
Update verfügbar
Betroffen sind VPN Plus Server for SRM 1.3 sowie VPN Plus Server for SRM 1.2. Den Fehler behebt die Version 1.4.4-0635 (für die 1.3er-Version) respektive 1.4.3-0534 (für den 1.2er-Zweig).
Wie die Aktualisierung konkret zu beziehen ist, erläutert der Hersteller nicht. Von der Beschreibung des VPN-Plus-Server-Dienstes lässt sich herleiten, dass die Software im Paketzentrum der Synology-Nutzeroberfläche zu installieren und zu aktualisieren ist. Wer das VPN-Plus-Paket nutzt, sollte zügig die bereitstehenden aktualisierten Versionen installieren.
Vor rund einer Woche hat Synology im Betriebssystem Synology Router Manager (SRM) kritische Sicherheitslücken geschlossen – dort ebenfalls, ohne weitere Details zu den Lücken zu erläutern oder CVE-Einträge zu benennen.
Ausführlicher war eine Warnung zuletzt im Oktober dieses Jahres. Da waren Sicherheitslücken im Out-of-Bands-Management von Synology ursächlich dafür, dass Angreifer beliebigen Code auf die Netzwerkspeicher des Anbieters hätten schieben können. Diese hatten zu dem Zeitpunkt bereits CVE-Einträge und den höchstmöglichen CVSS-Wert, 10.0.
Quelle; heise
Synology warnt kurz vor Jahresende vor einer kritischen Sicherheitslücke im VPN Plus Server. Dieser lässt sich als Zusatzsoftware auf Synology-Router installieren und verwandelt diese dann in eine VPN-Zentrale. Angreifer könnten dadurch beliebige Befehle ausführen.
Details hält Synology derzeit noch zurück: Eine Sicherheitslücke erlaubt Angreifern die Ausführung beliebiger Befehle aus der Ferne über eine anfällige Version von Synology VPN Plus Server, erläutert der Hersteller lediglich knapp. Zudem enthält die Sicherheitsmeldung noch den Hinweis, dass es keine temporäre Übergangslösung gibt. Die Lücke wurde von Kevin Wang gemeldet. Ein CVE-Eintrag scheint noch nicht reserviert zu sein. Auch ein konkreter CVSS-Score fehlt. Synology stuft die Lücke aber als kritisch ein.
Update verfügbar
Betroffen sind VPN Plus Server for SRM 1.3 sowie VPN Plus Server for SRM 1.2. Den Fehler behebt die Version 1.4.4-0635 (für die 1.3er-Version) respektive 1.4.3-0534 (für den 1.2er-Zweig).
Wie die Aktualisierung konkret zu beziehen ist, erläutert der Hersteller nicht. Von der Beschreibung des VPN-Plus-Server-Dienstes lässt sich herleiten, dass die Software im Paketzentrum der Synology-Nutzeroberfläche zu installieren und zu aktualisieren ist. Wer das VPN-Plus-Paket nutzt, sollte zügig die bereitstehenden aktualisierten Versionen installieren.
Vor rund einer Woche hat Synology im Betriebssystem Synology Router Manager (SRM) kritische Sicherheitslücken geschlossen – dort ebenfalls, ohne weitere Details zu den Lücken zu erläutern oder CVE-Einträge zu benennen.
Ausführlicher war eine Warnung zuletzt im Oktober dieses Jahres. Da waren Sicherheitslücken im Out-of-Bands-Management von Synology ursächlich dafür, dass Angreifer beliebigen Code auf die Netzwerkspeicher des Anbieters hätten schieben können. Diese hatten zu dem Zeitpunkt bereits CVE-Einträge und den höchstmöglichen CVSS-Wert, 10.0.
Quelle; heise