当前位置:首页 > 漏洞预警 > 正文

Synology DiskStation Manager多个高危漏洞预警

发布时间:2021-05-20 13:30:51,来源:中国信息通信研究院

一、基本情况

近日,中国台湾群晖科技(Synology)公司发布安全更新通告,披露了Synology DiskStation Manager存在11个安全漏洞,其中6个漏洞被Adobe标记为严重级别,5个漏洞被标记为重要级别。攻击者可利用漏洞获取敏感信息,执行任意代码等攻击。建议受影响用户及时升级至6.2.3-25426-3或更高版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。

二、 漏洞等级

高危

三、 漏洞描述

Synology DiskStation Manager(DSM)是中国台湾群晖科技(Synology)公司的一套用于网络储存服务器(NAS)上的操作系统。该操作系统可管理资料、文件、照片、音乐等信息。

以下为漏洞危害及影响较大的漏洞:

1.竞争条件漏洞(CVE-2021-26569):远程攻击者通过特制的web请求,利用该漏洞执行任意代码。

2.释放后重用漏洞(CVE-2021-27646):远程攻击者通过特制的web请求,利用该漏洞执行任意代码。

3.越界读取漏洞(CVE-2021-27647):远程攻击者通过特制的web请求,利用该漏洞执行任意代码。

4.会话欺骗漏洞(CVE-2021-26560):中间人攻击者可利用该漏洞通过HTTP会话欺骗服务器。

5.缓冲区溢出漏洞(CVE-2021-26561):中间人攻击者通过syno_finder_site HTTP标头执行任意代码。

6.越界写入漏洞(CVE-2021-26562):中间人攻击者通过syno finder站点HTTP报头执行任意代码。

四、 影响范围

Synology DiskStation Manager(DSM)< 6.2.3-25426-3

五、 安全建议

目前官方已发布新版本进行漏洞修复,建议用户及时进行升级安装。

https://www.synology.com/zh-hk/security/advisory/Synology_SA_20_26

六、 参考链接

https://www.synology.com/zh-hk/security/advisory/Synology_SA_20_26