image

Synology dicht kwetsbaarheden in NAS-software

woensdag 27 mei 2015, 13:24 door Redactie, 4 reacties

NAS-fabrikant Synology heeft verschillende beveiligingsupdates uitgebracht voor kwetsbaarheden in producten van het bedrijf. Een beveiligingslek in de Synology Cloud Station sync-client voor Mac OS X zorgde ervoor dat een lokale gebruiker met verminderde rechten rootrechten op het systeem kon krijgen.

Het probleem werd veroorzaakt door het bestand "client_chown" van de sync-client waarmee gebruikers de eigenaar van bestanden konden aanpassen. Standaard wordt het bestand met het setuid "root" geïnstalleerd. Hierdoor kan een gebruiker eigenaarschap van willekeurige systeembestanden veranderen en zo rootrechten krijgen. Synology heeft versie 3.2-3475 uitgebracht om het probleem op te lossen. Als oplossing is het bsetand client_chown nu verwijderd, zo laat het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit weten.

DiskStation Manager en Photo Station

Tevens zijn er ook updates voor Synology DiskStation Manager en Synology Photo Station verschenen. Het Nederlandse Securify had een cross-site scriptingprobleem in DiskStation Manager ontdekt waardoor een aanvaller sessietokens en inloggegevens zou kunnen stelen. In het geval van Photo Station ging het om een command injectionprobleem waardoor een aanvaller willekeurige commando's met de rechten van de webserver kon uitvoeren. Hiermee zou het mogelijk zijn om een DiskStation NAS en alle data daarop te compromitteren.

Reacties (4)
27-05-2015, 23:42 door Hans van Eijsden
Raar. Hier nog geen update te zien, nog steeds de DSM-versie van 19 mei (5.2-5565-1) en ook geen nieuwe app updates.
28-05-2015, 09:50 door Anoniem
Het cross-site scripting probleem is al opgelost in DSM 5.2.5565-1 van 21 mei.
Photo Station en Cloud Station zijn optionele packages en staan los van DSM, dezen werk je bij via het Package Center.

De precieze nieuwswaarde van dit bericht is mij ook niet helemaal duidelijk; de DSM update is er al een tijdje (en was toen geen nieuwsbericht waard blijkbaar) en van de andere problemen heb je alleen last als je ook die packages gebruikt... kleine doelgroep lijkt mij.
28-05-2015, 18:02 door Briolet - Bijgewerkt: 28-05-2015, 18:07
Synology heeft versie 3.2-3475 uitgebracht om het probleem op te lossen.

Deze melding loopt een beetje achter omdat versie 3.2-3475 al langer uit is. 26 mei is deze versie juist ge-update naar versie 3.2-3479
29-05-2015, 11:41 door Anoniem
Door Briolet:
Synology heeft versie 3.2-3475 uitgebracht om het probleem op te lossen.

Deze melding loopt een beetje achter omdat versie 3.2-3475 al langer uit is. 26 mei is deze versie juist ge-update naar versie 3.2-3479
3.2-3475 van de Cloud Station bedoel je dan waarschijnlijk. DSM zit al een tijdje op versie 5.x
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.