发布时间:2021-05-20 13:30:51,来源:中国信息通信研究院
一、基本情况
近日,中国台湾群晖科技(Synology)公司发布安全更新通告,披露了Synology DiskStation Manager存在11个安全漏洞,其中6个漏洞被Adobe标记为严重级别,5个漏洞被标记为重要级别。攻击者可利用漏洞获取敏感信息,执行任意代码等攻击。建议受影响用户及时升级至6.2.3-25426-3或更高版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。
二、 漏洞等级
高危
三、 漏洞描述
Synology DiskStation Manager(DSM)是中国台湾群晖科技(Synology)公司的一套用于网络储存服务器(NAS)上的操作系统。该操作系统可管理资料、文件、照片、音乐等信息。
以下为漏洞危害及影响较大的漏洞:
1.竞争条件漏洞(CVE-2021-26569):远程攻击者通过特制的web请求,利用该漏洞执行任意代码。
2.释放后重用漏洞(CVE-2021-27646):远程攻击者通过特制的web请求,利用该漏洞执行任意代码。
3.越界读取漏洞(CVE-2021-27647):远程攻击者通过特制的web请求,利用该漏洞执行任意代码。
4.会话欺骗漏洞(CVE-2021-26560):中间人攻击者可利用该漏洞通过HTTP会话欺骗服务器。
5.缓冲区溢出漏洞(CVE-2021-26561):中间人攻击者通过syno_finder_site HTTP标头执行任意代码。
6.越界写入漏洞(CVE-2021-26562):中间人攻击者通过syno finder站点HTTP报头执行任意代码。
四、 影响范围
Synology DiskStation Manager(DSM)< 6.2.3-25426-3
五、 安全建议
目前官方已发布新版本进行漏洞修复,建议用户及时进行升级安装。
https://www.synology.com/zh-hk/security/advisory/Synology_SA_20_26
六、 参考链接
https://www.synology.com/zh-hk/security/advisory/Synology_SA_20_26