Synology stopft hochriskantes Leck im Media Server
Synology hat mit aktualiserten Versionen eine als hohes Risiko eingestufte SicherheitslĂĽcke im Media Server geschlossen.
(Bild: Song_about_summer/Shutterstock.com)
Synolgy hat aktualisierte Software-Pakete für den Media Server veröffentlicht. Sie schließen eine hochriskante Schwachstelle, die Angreifern das unbefugte Lesen von Dateien ermöglicht.
In der aktualisierten Sicherheitsmitteilung von Synology will das Unternehmen angeblich Details zur Sicherheitslücke nennen. Allerdings gehen die nicht sonderlich in die Tiefe: Eine Umgehung der Autorisierung aufgrund einer Schwachstelle durch Benutzer-kontrollierte Schlüssel im Streaming-Dienst des Synology Streaming Servers ermöglicht Angreifern, bestimmte Dateien auf nicht spezifizierten Wegen zu lesen (CVE-2024-4464, CVSS 7.5, Risiko "hoch").
Synology-LĂĽcke: Details weiter unklar
Es bleibt unklar, wie genau Angriffe aussehen könnten und wie die Lücke sich genau von bösartigen Akteuren ausnutzen lässt. Es sind auch keine Indizien für einen Angriff bekannt.
Der Fehler betrifft die Synology Media Server für SRM 1.3 und für DSM 7.1 sowie 7.2. Für die stehen jeweils die Versionen 1.4-2680, 2.0.5-3152 und 2.2.0-3325 oder neuere zur Installation bereit. Der integrierte Update-Mechanismus sollte die verfügbare Aktualisierung anzeigen und je nach Einstellung bereits automatisch heruntergeladen und installiert haben. Wer Synology-Router und Synology-NAS-Systeme einsetzt, sollte sich zur Sicherheit jedoch einmal an der Web-Oberfläche der Geräte anmelden und prüfen, ob Updates bereitstehen, und diese zügig anwenden lassen.
Ende November hatte Synology bereits Sicherheitslücken im NAS-Betriebssystem DSM, der NAS-App Surveillance Station und der Backup-Lösung BeeDrive for Desktop gestopft. Das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) hat die Schwachstellen teils als kritisches Sicherheitsrisiko eingestuft. Seit Anfang November hat der Hersteller zudem mehrere, teils kritische Sicherheitslücken in der NAS-Software abgedichtet, die im Rahmen des Pwn2Own-Wettbewerbs in Irland zur Kompromittierung der Geräte genutzt wurden.
(dmk)