Synology cihazlarında Surveillance Station eklentisini kullanan herkes, mevcut güncellemelerin önceden kurulu olup olmadığını hızlı bir şekilde kontrol etmelidir. Yazılımda, kötü amaçlı kodların yürütülmesine, intranet kaynaklarına yetkisiz erişime, SQL enjeksiyonlarına ve daha fazlasına izin veren güvenlik açıkları bulunmaktadır.
Duyuru
Synology artık Surveillance Station'da toplam 15 güvenlik açığı konusunda uyarıyor. Güvenlik duyurusunda geliştiriciler, bir güvenlik açığının kritik, ikisinin yüksek riskli ve geri kalan on iki güvenlik açığının kullanıcılar için orta düzeyde risk oluşturduğunu belirtiyor.
Yüksek riskli ve kritik boşluklara sahip gözetleme istasyonu
Synology Surveillance Station'ın “Sistem” webapi bileşeninde, kimliği doğrulanmış saldırganlar, açıklanmayan yollarla güvenlik kısıtlamalarını atlamak için izin eksikliğinden yararlanabilir (CVE-2024-29241, CVSS) 9.9“Risk”eleştirmen“). Eksik izinler ayrıca “GetStmUrlPath” ve “GetLiveViewPath” webapi bileşenlerindeki (CVE-2024-29228, CVE-2024-29229; her ikisi de CVSS) hassas bilgilere yetkisiz erişime izin verir. 7.7, yüksek).
Boşluklar DSM 6.2, 7.1 ve 7.2 için Surveillance Station'da bulunabilir. Bunlar, 9.2.0-9289 (DSM 6.2) veya 9.2.0-11289 (DSM 7.1 ve 7.2) sürümüne veya daha yeni bir sürüme güncellenmelidir.
Saldırganlar ayrıca Synology Surveillance Station Client yazılımında isteğe bağlı komutlar da yürütebilir. Synology'nin güvenlik danışmanlığı bunun nasıl başarıldığından tam olarak bahsetmiyor. CVSS derecelendirmesinde olduğu gibi bir CVE girişi de eksik. Ancak geliştiriciler aciliyeti “önemli” olarak sınıflandırıyor. 2.2.0-2507 veya sonraki bir sürüme güncelleme yapmak güvenlik açığını kapatır.
Geçtiğimiz ayın ortalarında Synology, Synology Router Manager'daki (SRM) güvenlik açıklarını kapattı. Bu, saldırganların komut dosyasının koduna sızmasına olanak tanıdı.
(Bilmiyorum)
Haberin Sonu
Duyuru
Synology artık Surveillance Station'da toplam 15 güvenlik açığı konusunda uyarıyor. Güvenlik duyurusunda geliştiriciler, bir güvenlik açığının kritik, ikisinin yüksek riskli ve geri kalan on iki güvenlik açığının kullanıcılar için orta düzeyde risk oluşturduğunu belirtiyor.
Yüksek riskli ve kritik boşluklara sahip gözetleme istasyonu
Synology Surveillance Station'ın “Sistem” webapi bileşeninde, kimliği doğrulanmış saldırganlar, açıklanmayan yollarla güvenlik kısıtlamalarını atlamak için izin eksikliğinden yararlanabilir (CVE-2024-29241, CVSS) 9.9“Risk”eleştirmen“). Eksik izinler ayrıca “GetStmUrlPath” ve “GetLiveViewPath” webapi bileşenlerindeki (CVE-2024-29228, CVE-2024-29229; her ikisi de CVSS) hassas bilgilere yetkisiz erişime izin verir. 7.7, yüksek).
Boşluklar DSM 6.2, 7.1 ve 7.2 için Surveillance Station'da bulunabilir. Bunlar, 9.2.0-9289 (DSM 6.2) veya 9.2.0-11289 (DSM 7.1 ve 7.2) sürümüne veya daha yeni bir sürüme güncellenmelidir.
Saldırganlar ayrıca Synology Surveillance Station Client yazılımında isteğe bağlı komutlar da yürütebilir. Synology'nin güvenlik danışmanlığı bunun nasıl başarıldığından tam olarak bahsetmiyor. CVSS derecelendirmesinde olduğu gibi bir CVE girişi de eksik. Ancak geliştiriciler aciliyeti “önemli” olarak sınıflandırıyor. 2.2.0-2507 veya sonraki bir sürüme güncelleme yapmak güvenlik açığını kapatır.
Geçtiğimiz ayın ortalarında Synology, Synology Router Manager'daki (SRM) güvenlik açıklarını kapattı. Bu, saldırganların komut dosyasının koduna sızmasına olanak tanıdı.
(Bilmiyorum)
Haberin Sonu