首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】Synology DiskStation Manager 10月多個安全漏洞

發布時間 2022-10-21


0x00 漏洞概述

2022年10月20日,Synology發布安全公告,修復了DiskStation Manager中的4個安全漏洞,成功利用這些漏洞可能導致敏感信息泄露或遠程執行任意命令。

 

0x01 漏洞詳情

Synology(群暉科技)是全球知名的網絡存儲解決方案提供商,專注于打造高效能、可靠、功能豐富且綠色環保的 NAS 服務器。Synology DiskStation Manager (DSM) 是專為 Synology NAS 打造的人性化操作系統,具有直觀的圖形管理界面、精簡的操作流程,可輕松實現存儲、管理和備份數據。

Synology DiskStation Manager中披露的4個漏洞如下:

CVE

影響

評分

說明

受影響型號

CVE-2022-27624

命令執行

10.0(嚴重)

在帶外(OOB)管理的數據包解密功能中存在內存緩沖區范圍內的操作限制不當漏洞,成功利用此漏洞可遠程執行任意命令。

以下使用Synology DSM 版本 7.1.1-42962-2 之前的型號:DS3622xs+、FS3410 和   HD6500。

CVE-2022-27625

命令執行

10.0(嚴重)

在帶外(OOB)管理的消息處理功能中存在內存緩沖區范圍內的操作限制不當漏洞,成功利用此漏洞可遠程執行任意命令。

CVE-2022-27626

命令執行

10.0(嚴重)

在帶外(OOB)管理的會話處理功能中存在競爭條件漏洞,成功利用此漏洞可遠程執行任意命令。

CVE-2022-3576

信息泄露

5.3(中危)

在帶外(OOB)管理的會話處理功能中存在越界讀取漏洞,成功利用此漏洞可獲取敏感信息。

 

0x02 處置建議

目前這些漏洞已經修復,受影響用戶可升級到以下版本:

DS3622xs+:升級到 7.1.1-42962-2 或更高版本。

FS3410:升級到 7.1.1-42962-2 或更高版本。

HD6500:級到 7.1.1-42962-2 或更高版本。

下載鏈接:

https://www.synology.cn/zh-cn/support/download


0x03 參考鏈接

https://www.synology.cn/zh-cn/security/advisory/Synology_SA_22_17

https://www.synology.cn/zh-cn/company

 

0x04 版本信息

版本

日期

修改內容

V1.0

2022-10-21

首次發布

 

0x05 附錄

公司簡介

啟明星辰成立于1996年,是由留美博士嚴望佳女士創建的、擁有完全自主知識產權的信息安全高科技企業。是國內最具實力的信息安全產品、安全服務解決方案的領航企業之一。

公司總部位于北京市中關村軟件園啟明星辰大廈,公司員工6000余人,研發團隊1200余人, 技術服務團隊1300余人。在全國各省、市、自治區設立分支機構六十多個,擁有覆蓋全國的銷售體系、渠道體系和技術支持體系。公司于2010年6月23日在深圳中小板掛牌上市。(股票代碼:002439)

多年來,啟明星辰致力于提供具有國際競爭力的自主創新的安全產品和最佳實踐服務,幫助客戶全面提升其IT基礎設施的安全性和生產效能,為打造和提升國際化的民族信息安全產業領軍品牌而不懈努力。

 

關于我們

啟明星辰安全應急響應中心主要針對重要安全漏洞的預警、跟蹤和分享全球最新的威脅情報和安全報告。

關注以下公眾號,獲取全球最新安全資訊:

image.png

上一篇 下一篇