Pwn2own
Synology: NAS-Update soll Sicherheitslücken schließen
NAS-Hersteller Synology hatte innerhalb der DSM-Firmwareversion 6.2 mit einigen Sicherheitslücken zu kämpfen - das jüngste Update soll diese nun beheben.
Im vergangenen Dezember tagte die Pwn2own-Sicherheitskonferenz in Toronto und konnte in den NAS-Systemen des Herstellers Synology einige, teils schwerwiegende Sicherheitslücken aufzeigen. Insbesondere ältere Systeme, die mit der Disk Station Manager-Firmware 6.2 laufen, waren noch betroffen. Nun hat Synology für diese Softwareversionen ein Update bereitgestellt, welches die Schwachstellen beheben soll.
Die Lücken werden unter den CVE-Kennungen CVE-2023-32956, CVE-2023-32955 und CVS-2022-43932 geführt. Vor allem die erstgenannte hat es mit einem CVSS-Score von 9.8 in sich und wird als kritisch eingestuft. Aufgrund fehlerhafter Filtereinstellungen können Angreifer eine sogenannte "OS Command Injection" durchführen, womit beliebiger Code ausgeführt werden kann. Ähnliches gelingt mit einer Lücke in der DHCP-Client-Funktion der Synology-Geräte.
Weitere Sicherheitslücken betreffen etwa CGI-Skripte oder potenzielle Pufferüberläufe, die allerdings als weniger schwerwiegend eingestuft werden. In dem Sicherheitseintrag von Synology wird allerdings nicht konkret erläutert, ob alle Schwachstellen mit dem Update behoben sind oder einzelne Lücken noch Nachbesserungsbedarf haben. Unabhängig davon sollten Nutzer mit DSM 6.2 die Aktualisierung herunterladen und installieren, um auf die jüngste Version 6.2.4-25556-7 zu kommen.
Wer DSM 7.0 installiert hat, wurde zuletzt im Januar mit sicherheitsrelevanten Updates versorgt.
Weiter zur Startseite
