Synology şimdi Disk Station Manager (DSM) 6.2 ürün yazılımı için bir güncelleme yayınladı. Geçen Aralık ayında Toronto’da düzenlenen Pwn2own güvenlik konferansında ortaya çıkan güvenlik açıklarını düzeltir. DSM 7.1 ve 7.0 ile yönlendirici işletim sistemleri SRM 1.3 ve 1.2 için, sızıntıları kapatmaya yönelik güncellemeler altı aydır mevcuttur.
O sırada Synology, güvenlik açıklarıyla ilgili herhangi bir ayrıntı açıklamadı – üretici bilgileri yalnızca geçen hafta sağladı. Synology’nin Pwn2own Güvenlik Açıkları Güvenlik Danışmanlığının mevcut sürümünde, daha ayrıntılı bilgiler hala eksiktir.
Synology NAS ve Yönlendiriciler: Kritik ve Yüksek Riskli Güvenlik Açıkları
Yeni sunulan ayrıntılar, SRM ürün yazılımının güncellenmiş sürümleriyle giderilen güvenlik açıklarını açıklar. CGI bileşenlerinde iletilen parametrelerin yetersiz şekilde filtrelenmesi nedeniyle, saldırganlar keyfi komutları ve kendi kodlarını yürütmek için bir “OS Komut Enjeksiyonu” güvenlik açığını kötüye kullanabilir (CVE-2023-32956, CVSS 9.8risk”eleştirmen“). Karşılaştırılabilir bir güvenlik açığı, cihazların DHCP istemci işlevini etkiler (CVE-2023-32955, CVSS 8.1, yüksek). CGI betiklerindeki bir başka güvenlik açığı, ağdaki saldırganların rastgele verileri okumasına olanak tanır (CVS-2022-43932, CVSS 7.5, yüksek).
CGI bileşenlerinde tamsayı taşması veya az akışı nedeniyle potansiyel arabellek taşması da uzak saldırganların enjekte edilen kodu yürütmesine olanak tanır, ancak daha az hassas olarak kabul edilir (CVE-2023-0077, CVSS) 6.5, yarım). Güvenlik Bildirimi’nde Pwn2own güvenlik açıkları hakkında daha ayrıntılı bilgi bulunmadığından, DSM 6.2 için de kullanıma sunulan güncelleme ile hangi güvenlik açıklarının kapatıldığını net bir şekilde sınıflandırmak mümkün değil.
Ancak, Synology’nin onaylarında, saldırganların ağdan cihazlara kötü amaçlı kod enjekte etmek için kullanabilecekleri bir güvenlik açığını gösteren adlar görünür. Sonar BT araştırmacıları onları gösterdi, ancak onlardan önce Gaurav Baruah. Pwn2own güvenlik konferansının organizatörleri olan Zero Day Initiative (ZDI) bağlamında yer almaktadır. Bu boşlukları dolduran ilk güncellenmiş işletim sistemleri, SRM 1.2.5-8227-6 birlikte 1.3-9346-3 ve daha yeni.
Şimdi güncellenen Pwn2own güvenlik raporuna göre, bahsedilen sürümlerle ilk donatılanlar onlardı. Ocak ayında güncellemeyi takip etti dsm uzantısı 7.0 açık 7.0.1-42218-6 ve daha yeni. Ne zaman 7.1.1-42962-3 ve yenileri mevcuttu, not açıklamıyor. Ancak, DSM 6.2 çalıştıran Synology cihazlarının kullanıcıları hızlı bir şekilde güncelleme yapmalıdır 6.2.4-25556-7 boşlukları doldurmak için güncelleme veya daha yeni.
(dmk)
Haberin Sonu
O sırada Synology, güvenlik açıklarıyla ilgili herhangi bir ayrıntı açıklamadı – üretici bilgileri yalnızca geçen hafta sağladı. Synology’nin Pwn2own Güvenlik Açıkları Güvenlik Danışmanlığının mevcut sürümünde, daha ayrıntılı bilgiler hala eksiktir.
Synology NAS ve Yönlendiriciler: Kritik ve Yüksek Riskli Güvenlik Açıkları
Yeni sunulan ayrıntılar, SRM ürün yazılımının güncellenmiş sürümleriyle giderilen güvenlik açıklarını açıklar. CGI bileşenlerinde iletilen parametrelerin yetersiz şekilde filtrelenmesi nedeniyle, saldırganlar keyfi komutları ve kendi kodlarını yürütmek için bir “OS Komut Enjeksiyonu” güvenlik açığını kötüye kullanabilir (CVE-2023-32956, CVSS 9.8risk”eleştirmen“). Karşılaştırılabilir bir güvenlik açığı, cihazların DHCP istemci işlevini etkiler (CVE-2023-32955, CVSS 8.1, yüksek). CGI betiklerindeki bir başka güvenlik açığı, ağdaki saldırganların rastgele verileri okumasına olanak tanır (CVS-2022-43932, CVSS 7.5, yüksek).
CGI bileşenlerinde tamsayı taşması veya az akışı nedeniyle potansiyel arabellek taşması da uzak saldırganların enjekte edilen kodu yürütmesine olanak tanır, ancak daha az hassas olarak kabul edilir (CVE-2023-0077, CVSS) 6.5, yarım). Güvenlik Bildirimi’nde Pwn2own güvenlik açıkları hakkında daha ayrıntılı bilgi bulunmadığından, DSM 6.2 için de kullanıma sunulan güncelleme ile hangi güvenlik açıklarının kapatıldığını net bir şekilde sınıflandırmak mümkün değil.
Ancak, Synology’nin onaylarında, saldırganların ağdan cihazlara kötü amaçlı kod enjekte etmek için kullanabilecekleri bir güvenlik açığını gösteren adlar görünür. Sonar BT araştırmacıları onları gösterdi, ancak onlardan önce Gaurav Baruah. Pwn2own güvenlik konferansının organizatörleri olan Zero Day Initiative (ZDI) bağlamında yer almaktadır. Bu boşlukları dolduran ilk güncellenmiş işletim sistemleri, SRM 1.2.5-8227-6 birlikte 1.3-9346-3 ve daha yeni.
Şimdi güncellenen Pwn2own güvenlik raporuna göre, bahsedilen sürümlerle ilk donatılanlar onlardı. Ocak ayında güncellemeyi takip etti dsm uzantısı 7.0 açık 7.0.1-42218-6 ve daha yeni. Ne zaman 7.1.1-42962-3 ve yenileri mevcuttu, not açıklamıyor. Ancak, DSM 6.2 çalıştıran Synology cihazlarının kullanıcıları hızlı bir şekilde güncelleme yapmalıdır 6.2.4-25556-7 boşlukları doldurmak için güncelleme veya daha yeni.
(dmk)
Haberin Sonu