Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.
Categories
Tags
Authors
Teams
Archives
Categories:   All Categories
Suggested keywords
x
  Drucken

Synology korrigiert weitere kritische Pwn2Own-Sicherheitslücken

437 Aufrufe

Synology hat weitere Sicherheitsmitteilungen zu teils kritischen Sicherheitslücken in den NAS-Systemen des Herstellers veröffentlicht. Diese wurden im Rahmen des Pwn2Own-Wettbewerbs in Irland entdeckt, der Ende Oktober stattgefunden hat.

Anzeige

Die Sicherheitslücken betreffen demnach Synology DSM, Synology Drive Server, Synology Replication Service und Synology BeeStation. Bis auf die Sicherheitslecks in Drive Server, die von Synologys Entwicklern als "wichtig" eingestuft wurde, gelten alle Schwachstellen als kritisches Sicherheitsrisiko. CVE-Schwachstelleneinträge wurden noch nicht vergeben oder veröffentlicht, eine Bewertung nach CVSS-System fehlt ebenfalls.

Die Schwachstellen deuten die Sicherheitsmitteilungen nur vage an. In Synology Beestation können Angreifer aus dem Netz demnach beliebigen Code ausführen, bestimmte Dateien lesen oder Man-in-the-Middle-Angreifer bestimmte Dateien schreiben. Betroffen sind Beestation 1.0 und 1.1, das Upgrade auf 1.1-65374 oder neuer korrigiert die Fehler. Der Replication-Service hingegen ermöglicht Angreifern aus dem Netz, beliebige Befehle auszuführen. DSM 7.1 und 7.2 sind dafür anfällig, das Update auf Version 1.2.2-0353 sowie 1.3.0-0423 oder jeweils neuer korrigiert die Fehler. Für das verwundbare DSMUC 3.1 soll innerhalb von 30 Tagen ein Sicherheitsupdate erscheinen.

Fünf Sicherheitslücken in Synology DSM ermöglichen Angreifern aus dem Netz ebenfalls, Schadcode auszuführen, bestimmte Dateien auszulesen oder Angreifern in Man-in-the-Middle-Position, an Admin-Sessions zu gelangen oder bestimmte Dateien zu schreiben. Lediglich für DSM 7.2 steht die fehlerbereinigte Version 7.2.2-72806-1 oder neuer bereit, für die verwundbaren DSM 7.1 und DSMUC 3.1 sollen innerhalb der nächsten 30 Tage Aktualisierungen erscheinen. Die immerhin als "wichtig" eingestufte Lücke in Synology Drive Server ermöglicht Angreifern aus dem Netz, Web-Sessions zu übernehmen und SQL-Befehle einzuschleusen. DSM 7.2 enthält ab Fassung 3.5.1-26102 den Fehler nicht mehr, für DSM 7.1 ist ein Update in den kommenden 30 Tagen angekündigt.

Wer Synology-NAS-Systeme einsetzt, sollte sicherstellen, die verfügbaren Updates zeitnah zu installieren, um die Angriffsfläche zu minimieren.

Bereits in der vergangenen Woche hatte Synology zwei Sicherheitslücken in den NAS-Systemen geschlossen. Die Schwachstellen in Synology Photos und BeePhotos haben die Entwickler als kritisches Sicherheitsrisiko eingestuft.

Anzeige

Mehr von heise Security

Mehr von heise Security

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

(Ursprünglich geschrieben von Dirk Knop)
0
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

HPE Aruba stopft Codeschmuggel-Lücken in Access Po...
Veritas Netbackup: Rechteausweitung in Windows mög...

Über den Autor

comadmin

comadmin

Updates abonnieren Abo von Updates dieses Autors beenden comadmin
Neueste Beiträge des Autors
Mehr Beiträge vom Autor
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Samstag, 01. November 2025

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Comretix GmbH Logo
ImpressumAGBDisclaimerDatenschutzerklärung