Bezpečnost | Synology | NAS

NASy od Synology jsou děravé. Chyby se týkají i nejnovějšího DSM 7.0

  • V softwaru NASů Synology jsou bezpečnostní díry
  • Týkají se nejnovějšího DSM 7.0 i starších produktů
  • Odborníci zkoumají další bezpečnostní zranitelnosti

Tchajwanský výrobce síťových úložišť Synology oznámil, že některé z jeho produktů jsou postiženy nedávno odhalenými zranitelnostmi OpenSSL, které mohou vést ke vzdálenému spuštění kódu (RCE) a odepření služby (DoS).

„Několik zranitelností umožňuje vzdáleným útočníkům provést útok typu odepření služby nebo spustit libovolný kód prostřednictvím náchylné verze Synology DiskStation Manager (DSM), Synology Router Manager (SRM), VPN Plus Server nebo VPN Server,“ uvádí Synology v bezpečnostním bulletinu.

Zranitelnosti v Synology

Seznam postižených produktů dotčených chybami zabezpečení označenými jako CVE-2021-3711 a CVE-2021-3712 zahrnuje systémy DSM 7.0, DSM 6.2, DSM UC, SkyNAS, VS960HD, SRM 1.2, VPN Plus Server a VPN Server.

První chyba je způsobena přetečením zásobníku v kryptografickém algoritmu SM2 až o 62 bajtů. To obecně vede k pádu, nicméně chyba může být zneužita útočníky ke spuštění libovolného kódu a teoreticky i ovládnutí systému.

Druhou chybou je přetečení vyrovnávací paměti při zpracování řetězců ASN.1, které může být zneužito k pádu zranitelných aplikací při útocích DoS nebo k získání přístupu k obsahu soukromé paměti, v níž jsou uložené soukromé klíče nebo jiné citlivé informace.

Aktualizace je na cestě

Vývojáři OpenSSL zveřejnili v úterý 24. srpna novou verzi OpenSSL 1.1.1l, která obě výše uvedené chyby řeší. Synology uvádí, že vydání bezpečnostní aktualizace pro postižené produkty „probíhá“ nebo „se očekává“.

Firma neuvádí žádný časový harmonogram vydání připravovaných aktualizací. Její zástupce však počátkem srpna serveru Bleeping Computer sdělil, že obecně opravují postižený software do 90 dnů od zveřejnění upozornění.

Dotčené produkty

Produkt

Závažnost

Dostupnost aktualizace

DSM 7.0

významná

Probíhá

DSM 6.2

střední

Probíhá

DSM UC

střední

Probíhá

SkyNAS

střední

Očekává se

VS960HD

střední

Očekává se

SRM 1.2

střední

Probíhá

VPN Plus Server

významná

Probíhá

VPN Server

střední

Probíhá

Zranitelnosti v DiskStation Manager

Synology také pracuje na bezpečnostních aktualizacích pro několik dalších zranitelností DiskStation Manager (DSM) bez přidělených CVE ID. Mají se týkat zejména DSM 7.0, DSM 6.2, DSM UC, SkyNAS a VS960HD.

„Několik zranitelností umožňuje vzdáleným autentizovaným uživatelům spustit libovolné příkazy nebo vzdáleným útočníkům zapsat libovolné soubory prostřednictvím náchylné verze systému DiskStation Manager (DSM),“ uvedl výrobce 17. srpna. Vývojáři zatím tyto potenciální zranitelnosti aktivně zkoumají.

Dobrou zprávou v tomto případě je, že útočníci zranitelnosti zveřejněné minulý týden zatím nezneužívají. Počátkem srpna Synology varovalo zákazníky, že botnet StealthWorker se zaměřuje na síťová úložiště této značky, přičemž využívá útoky hrubou silou k infekci ransomwarem.

Diskuze (38) Další článek: Alza změnila ceník. Zaplatíte i za vyzvednutí zboží, které je skladem na pobočce

Témata článku: Software, Bezpečnost, Aktualizace, VPN, Synology, NAS, SRM, StealthWorker, DOS, Zranitelnost, RCE, VPN Server, NAS Synology, DSM, Produkt, ASN, DiskStation Manažer, Software na Heureka.cz



Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

** Sex manželských párů jen při zvláštních příležitostech. ** Ložnice ovládnou sexuální roboti s umělou inteligencí. ** I to je jeden ze závěrů Mezinárodní robotické konference.

Filip KůželJiří Liebreich
RobotiSexUmělá inteligence
Doba pokročila. Češi dostali aplikaci, se kterou mohou partnerovi odsouhlasit sexuální styk

Doba pokročila. Češi dostali aplikaci, se kterou mohou partnerovi odsouhlasit sexuální styk

** Mobilní aplikace XPass chce zatočit se sexuálním násilím ** Uživatelům umožní udělit souhlas k pohlavnímu styku QR kódem ** Kromě toho chce také chránit a edukovat

Martin Miksa
SexMobilní aplikace
Jak poznat, že máte možná hacknutý telefon? Toto je devět symptomů, které můžete pozorovat

Jak poznat, že máte možná hacknutý telefon? Toto je devět symptomů, které můžete pozorovat

** Jak poznat, že je váš smartphone hacknutý? ** Hledejte známky po nestandardním chování telefonu ** Stačí když telefon vydrží méně nebo topí i v klidovém režimu...

Martin Chroust
Jak...Malware
Recenze cykloradaru Garmin Varia RCT715. Bílé dodávky, všechny si vás natočím

Recenze cykloradaru Garmin Varia RCT715. Bílé dodávky, všechny si vás natočím

** Garmin do svého stále unikátního cykloradaru přidal kameru ** Snímá a ukládá, co se při jízdě děje za sedlem ** Kromě toho je to jedna z nejsilnějších svítilen na kolo

Marek Lutonský
Testy
Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

** Google umí kromě vyhledávání i spoustu dalších věcí ** Vybrali jsme více než 15 užitečných funkcí a schopností ** Stačí zadat do vyhledávače ta správná klíčová slova

Karel Kilián
TipyVyhledávačeGoogle