Synology lukker huller i NAS-applikationer

Artiklen blev oprindeligt publiceret den 11/9/2015

Synology har lukket alvorlige sikkerhedshuller i programmerne Video Station, Note Station og Download Station til firmaets NAS-udstyr. Et af hullerne lader angribere afvikle kommandoer med privilegier som administrator (root).

Den fejl findes i Video Station, der også er plaget af flere SQL-indsætningssårbarheder. Dermed kan en angriber kompromittere den underliggende PostgreSQL-database.

Sårbarhederne i Download Station er af typen cross-site scripting. En angriber kan udføre kommandoer på vegne af en bruger eller omdirigere opkald til farlige websteder.

Også Note Station er ramt af cross-site scripting-sårbarheder.

Fejlene er rettet i Video Station 1.5-0763, Note Station 1.1-211 og Download Station 3.5-2967.

Anbefaling
Installer nyeste version af programmerne.

Links

• Sikkerhedsopdateringer til Synology-produkter
• Synology Video Station command injection and multiple SQL injection vulnerabilities, advarsel fra Securify
• Multiple Cross-Site Scripting vulnerabilities in Synology Download Station, advarsel fra Securify