Wer ein NAS von Synology besitzt, sollte die Systemsoftware aktualisieren. Ansonsten könnten Angreifer eine als kritisch eingestufte Sicherheitslücke (CVE-2018-1160) ausnutzen und Schadcode auf Geräten ausführen. Eine Attacke soll über das Internet ohne Anmeldung möglich sein.
Die Lücke findet sich in verschiedenen Versionen von DiskStation Manager (DSM), SkyNAS, Synology Router Manager (SRM) und VS960HD. Ab den folgenden Ausgaben haben die Entwickler die Lücke geschlossen: DSM 6.2.1-23824-3, SRM 1.2-7742-5 und VS960HD 2.3.3-1646. Sicherheitsupdates für DSM 5.2 und 6.1 sowie SkyNAS sind bislang nicht verfügbar.
Aufgrund eines Fehlers in der Software-Suite Netatalk könnten Angreifer einen Speicherfehler (out of bounds) auslösen und so eigenen Code ausführen. Ab der Version 3.1.12 ist die Protokollsammlung abgesichert, führt Synology in einer Sicherheitswarnung aus.
Noch eine Schwachstelle
Einer weiteren Warnung zufolge haben die Synology-Entwickler in DSM 5.2-5967-9, 6.1.7-15284-3 und 6.2.1-23824-4 noch eine weitere als kritisch eingestufte Sicherheitslücke geschlossen. Ein erfolgreiches Ausnutzen soll ebenfalls Schadcode auf Systeme bringen. Weitere Infos, wie beispielsweise eine CVE-Nummer, stehen noch aus.
Quelle: Fehler in Software-Suite gefährdet NAS-Geräte von Synology |
heise Security