Synology NAS-sebezhetőségek

CH azonosító

CH-12601

Angol cím

Synology NAS-vulnerabilities

Felfedezés dátuma

2015.09.10.

Súlyosság

Magas

Érintett rendszerek

N/A

Érintett verziók

NAS eszközök

Összefoglaló

A Synology egyes adattárolói kapcsán több sérülékenység kerül napvilágra. Ezek jogosulatlan távoli rendszerhozzáférésre, műveltvégrehajtásra adhatnak lehetőséget.

Leírás

A legsúlyosabb biztonsági hibákat a Synology Video Station tartalmazza, amely SQL injection technikákkal válhat kompromittálhatóvá. Ennek hatására a támadók DBA jogosultságokkal férhetnek hozzá az integrált PostgreSQL szerverhez. Az érintett fájlok:
subtitle.cgi (subtitle_codepage paraméter)
watchstatus.cgi (id paraméter)
audiotrack.cgi (id paraméter)

Egy további sérülékenység az úgynevezett “download tasks by uploading files” funkciót sújtja. A hiba által az elkövetők speciálisan szerkesztett (például .torrent állományokkal) XSS-alapú károkozásokat hajthatnak végre. A hiba egyes bemeneti paraméterek nem megfelelő ellenőrzésére vezethető vissza.

Megoldás

A Synology már javította a hibákat, ezért az eszközök frissítésével orvosolhatók a sebezhetőségek.