Tchajwanský výrobce síťových úložišť Synology oznámil, že některé z jeho produktů jsou postiženy nedávno odhalenými zranitelnostmi OpenSSL, které mohou vést ke vzdálenému spuštění kódu (RCE) a odepření služby (DoS).

Tchajwanský výrobce síťových úložišť Synology oznámil, že některé z jeho produktů jsou postiženy nedávno odhalenými zranitelnostmi OpenSSL, které mohou vést ke vzdálenému spuštění kódu (RCE) a odepření služby (DoS).

„Několik zranitelností umožňuje vzdáleným útočníkům provést útok typu odepření služby nebo spustit libovolný kód prostřednictvím náchylné verze Synology DiskStation Manager (DSM), Synology Router Manager (SRM), VPN Plus Server nebo VPN Server.“ uvádí Synology v bezpečnostním bulletinu.

„Několik zranitelností umožňuje vzdáleným útočníkům provést útok typu odepření služby nebo spustit libovolný kód prostřednictvím náchylné verze Synology DiskStation Manager (DSM), Synology Router Manager (SRM), VPN Plus Server nebo VPN Server.“ uvádí Synology v bezpečnostním bulletinu.

Seznam postižených produktů dotčených chybami zabezpečení označenými jako CVE-2021-3711 a CVE-2021-3712 zahrnuje systémy DSM 7.0, DSM 6.2, DSM UC, SkyNAS, VS960HD, SRM 1.2, VPN Plus Server a VPN Server.

Seznam postižených produktů dotčených chybami zabezpečení označenými jako CVE-2021-3711 a CVE-2021-3712 zahrnuje systémy DSM 7.0, DSM 6.2, DSM UC, SkyNAS, VS960HD, SRM 1.2, VPN Plus Server a VPN Server.

První chyba je způsobena přetečením zásobníku v kryptografickém algoritmu SM2 až o 62 bajtů. To obecně vede k pádu, nicméně chyba může být zneužita útočníky ke spuštění libovolného kódu a teoreticky i ovládnutí systému.

První chyba je způsobena přetečením zásobníku v kryptografickém algoritmu SM2 až o 62 bajtů. To obecně vede k pádu, nicméně chyba může být zneužita útočníky ke spuštění libovolného kódu a teoreticky i ovládnutí systému.

Druhou chybou je přetečení vyrovnávací paměti při zpracování řetězců ASN.1, které může být zneužito k pádu zranitelných aplikací při útocích DoS nebo k získání přístupu k obsahu soukromé paměti, v níž jsou uložené soukromé klíče nebo jiné citlivé informace.

Druhou chybou je přetečení vyrovnávací paměti při zpracování řetězců ASN.1, které může být zneužito k pádu zranitelných aplikací při útocích DoS nebo k získání přístupu k obsahu soukromé paměti, v níž jsou uložené soukromé klíče nebo jiné citlivé informace.

Vývojáři OpenSSL zveřejnili v úterý 24. srpna novou verzi OpenSSL 1.1.1l, která obě výše uvedené chyby řeší. Synology uvádí, že vydání bezpečnostní aktualizace pro postižené produkty „probíhá“ nebo „se očekává“.

Vývojáři OpenSSL zveřejnili v úterý 24. srpna novou verzi OpenSSL 1.1.1l, která obě výše uvedené chyby řeší. Synology uvádí, že vydání bezpečnostní aktualizace pro postižené produkty „probíhá“ nebo „se očekává“.

Firma neuvádí žádný časový harmonogram vydání připravovaných aktualizací. Její zástupce však počátkem srpna serveru Bleeping Computer sdělil, že obecně opravují postižený software do 90 dnů od zveřejnění upozornění.

Firma neuvádí žádný časový harmonogram vydání připravovaných aktualizací. Její zástupce však počátkem srpna serveru Bleeping Computer sdělil, že obecně opravují postižený software do 90 dnů od zveřejnění upozornění.

Synology také pracuje na bezpečnostních aktualizacích pro několik dalších zranitelností DiskStation Manager (DSM) bez přidělených CVE ID. Mají se týkat zejména DSM 7.0, DSM 6.2, DSM UC, SkyNAS a VS960HD.

Synology také pracuje na bezpečnostních aktualizacích pro několik dalších zranitelností DiskStation Manager (DSM) bez přidělených CVE ID. Mají se týkat zejména DSM 7.0, DSM 6.2, DSM UC, SkyNAS a VS960HD.

„Několik zranitelností umožňuje vzdáleným autentizovaným uživatelům spustit libovolné příkazy nebo vzdáleným útočníkům zapsat libovolné soubory prostřednictvím náchylné verze systému DiskStation Manager (DSM),“ uvedl výrobce 17. srpna. Vývojáři zatím tyto potenciální zranitelnosti aktivně zkoumají.

„Několik zranitelností umožňuje vzdáleným autentizovaným uživatelům spustit libovolné příkazy nebo vzdáleným útočníkům zapsat libovolné soubory prostřednictvím náchylné verze systému DiskStation Manager (DSM),“ uvedl výrobce 17. srpna. Vývojáři zatím tyto potenciální zranitelnosti aktivně zkoumají.

Dobrou zprávou v tomto případě je, že útočníci zranitelnosti zveřejněné minulý týden zatím nezneužívají. Počátkem srpna Synology varovalo zákazníky, že botnet StealthWorker se zaměřuje na síťová úložiště této značky, přičemž využívá útoky hrubou silou k infekci ransomwarem.

Dobrou zprávou v tomto případě je, že útočníci zranitelnosti zveřejněné minulý týden zatím nezneužívají. Počátkem srpna Synology varovalo zákazníky, že botnet StealthWorker se zaměřuje na síťová úložiště této značky, přičemž využívá útoky hrubou silou k infekci ransomwarem.

„Několik zranitelností umožňuje vzdáleným útočníkům provést útok typu odepření služby nebo spustit libovolný kód prostřednictvím náchylné verze Synology DiskStation Manager (DSM), Synology Router Manager (SRM), VPN Plus Server nebo VPN Server.“ uvádí Synology v bezpečnostním bulletinu.
Seznam postižených produktů dotčených chybami zabezpečení označenými jako CVE-2021-3711 a CVE-2021-3712 zahrnuje systémy DSM 7.0, DSM 6.2, DSM UC, SkyNAS, VS960HD, SRM 1.2, VPN Plus Server a VPN Server.
První chyba je způsobena přetečením zásobníku v kryptografickém algoritmu SM2 až o 62 bajtů. To obecně vede k pádu, nicméně chyba může být zneužita útočníky ke spuštění libovolného kódu a teoreticky i ovládnutí systému.
Druhou chybou je přetečení vyrovnávací paměti při zpracování řetězců ASN.1, které může být zneužito k pádu zranitelných aplikací při útocích DoS nebo k získání přístupu k obsahu soukromé paměti, v níž jsou uložené soukromé klíče nebo jiné citlivé informace.
10
Fotogalerie

NASy od Synology jsou děravé. Chyby se týkají i nejnovějšího DSM 7.0

  • V softwaru NASů Synology jsou bezpečnostní díry
  • Týkají se nejnovějšího DSM 7.0 i starších produktů
  • Odborníci zkoumají další bezpečnostní zranitelnosti

Tchajwanský výrobce síťových úložišť Synology oznámil, že některé z jeho produktů jsou postiženy nedávno odhalenými zranitelnostmi OpenSSL, které mohou vést ke vzdálenému spuštění kódu (RCE) a odepření služby (DoS).

„Několik zranitelností umožňuje vzdáleným útočníkům provést útok typu odepření služby nebo spustit libovolný kód prostřednictvím náchylné verze Synology DiskStation Manager (DSM), Synology Router Manager (SRM), VPN Plus Server nebo VPN Server,“ uvádí Synology v bezpečnostním bulletinu.

Zranitelnosti v Synology

Seznam postižených produktů dotčených chybami zabezpečení označenými jako CVE-2021-3711 a CVE-2021-3712 zahrnuje systémy DSM 7.0, DSM 6.2, DSM UC, SkyNAS, VS960HD, SRM 1.2, VPN Plus Server a VPN Server.

První chyba je způsobena přetečením zásobníku v kryptografickém algoritmu SM2 až o 62 bajtů. To obecně vede k pádu, nicméně chyba může být zneužita útočníky ke spuštění libovolného kódu a teoreticky i ovládnutí systému.

Druhou chybou je přetečení vyrovnávací paměti při zpracování řetězců ASN.1, které může být zneužito k pádu zranitelných aplikací při útocích DoS nebo k získání přístupu k obsahu soukromé paměti, v níž jsou uložené soukromé klíče nebo jiné citlivé informace.

Aktualizace je na cestě

Vývojáři OpenSSL zveřejnili v úterý 24. srpna novou verzi OpenSSL 1.1.1l, která obě výše uvedené chyby řeší. Synology uvádí, že vydání bezpečnostní aktualizace pro postižené produkty „probíhá“ nebo „se očekává“.

Firma neuvádí žádný časový harmonogram vydání připravovaných aktualizací. Její zástupce však počátkem srpna serveru Bleeping Computer sdělil, že obecně opravují postižený software do 90 dnů od zveřejnění upozornění.

Dotčené produkty

Produkt

Závažnost

Dostupnost aktualizace

DSM 7.0

významná

Probíhá

DSM 6.2

střední

Probíhá

DSM UC

střední

Probíhá

SkyNAS

střední

Očekává se

VS960HD

střední

Očekává se

SRM 1.2

střední

Probíhá

VPN Plus Server

významná

Probíhá

VPN Server

střední

Probíhá

Zranitelnosti v DiskStation Manager

Synology také pracuje na bezpečnostních aktualizacích pro několik dalších zranitelností DiskStation Manager (DSM) bez přidělených CVE ID. Mají se týkat zejména DSM 7.0, DSM 6.2, DSM UC, SkyNAS a VS960HD.

„Několik zranitelností umožňuje vzdáleným autentizovaným uživatelům spustit libovolné příkazy nebo vzdáleným útočníkům zapsat libovolné soubory prostřednictvím náchylné verze systému DiskStation Manager (DSM),“ uvedl výrobce 17. srpna. Vývojáři zatím tyto potenciální zranitelnosti aktivně zkoumají.

Dobrou zprávou v tomto případě je, že útočníci zranitelnosti zveřejněné minulý týden zatím nezneužívají. Počátkem srpna Synology varovalo zákazníky, že botnet StealthWorker se zaměřuje na síťová úložiště této značky, přičemž využívá útoky hrubou silou k infekci ransomwarem.

Určitě si přečtěte

Články odjinud