Synology warnt vor Sicherheitslücke im DSM-Betriebssystem Update
(Bild: asharkyu/Shutterstock.com)
Synology gibt eine Warnung vor einer Sicherheitslücke im DSM-Betriebssystem für NAS-Systeme heraus. Updates stehen länger bereit.
Synology warnt aktuell vor einer Sicherheitslücke im Synology DiskStation Manager (DSM)-Betriebssystem. Die hochriskante Schwachstelle erlaubt Angreifern Schadcodeschmuggel.
In einer Sicherheitsmitteilung vom Dienstag dieser Woche erläutert Synology [1], dass "lokale Nutzer beliebigen Code durch anfällige Versionen des Synology DiskStation Manager (DSM)" ausführen können. Weitere Details liefert Synology jedoch nicht. Der Schweregrad wird als "wichtig" eingestuft. Das CERT-Bund gelangt aufgrund der Angaben [2] zu der Einschätzung, dass die Lücke einen CVSS-Wert von 7.8 erreicht und somit die Risikoeinstufung "hoch" erhält.
Aktualisierte Versionen lange verfügbar
Den hochriskanten, sicherheitsrelevanten Fehler korrigiert demnach die DSM-Version 7.2-64561 sowie neuere Fassungen des NAS-Betriebssystems. Das ist jedoch bereits seit Mai 2023 erhältlich. Interessant ist, dass Synology für die ebenfalls verwundbaren Versionen DSM 6.2 und DSM 7.1 nur das Upgrade auf diese 7.2er-Builds von DSM vorsieht.
Bei manchen Synology-Modellen scheint die fehlerbereinigte Version aus dem 7.2er-Baum nicht automatisch installiert zu werden; schlimmer noch: Die fehlerhafte DSM-Version 7.1.1-42962 wird in der Web-GUI gemäß mehrerer Berichte aus dem heise-Forum als "aktuell" angezeigt. In diesen Fällen müssen Administratoren manuell auf die korrekte Version aus der 7.2er-Serie aktualisieren.
Für DSMUC steht die Fassung 3.1.2-23068 und neuere bereit, die den Fehler ausbessern. Die sind sogar schon seit März 2023 verfügbar [3]. Warum der Hersteller erst jetzt vor dieser Schwachstelle warnt und dabei noch jedwede Details zurückhält, erläutert die Sicherheitsmeldung nicht.
Wer NAS-Systeme von Synology einsetzt und noch eine verwundbare Version des DSM-Betriebssystems nutzt, sollte zügig auf die aktualisierten Fassungen umsteigen. Eine Anleitung von Synology beschreibt [4], wie gegebenenfalls Updates manuell vorzunehmen sind.
Die im Mai 2023 bereitgestellten Updates von Synology für DSM 6.2 [5] hatten etwa Sicherheitslücken gestopft, die auf der Pwn2own-Sicherheitskonferenz des Vorjahres vorgeführt wurden. Andere DSM- und SRM-Versionen hatten die Fehlerkorrekturen teils deutlich früher erhalten.
Der Synology-Kundesupport hat gegenüber Anfragenden geäußert, dass die Entwickler auch an einer aktualisierten DSM-Fassung des 7.1er-Zweiges des NAS-Betriebssystems arbeiten. Wann ein solches Update verfügbar ist, konnte der Support jedoch nicht nennen.
Nach mehreren Lesermeldungen haben wir eine Warnung vor nicht korrekt funktionierenden automatischen Updates ergänzt.
(dmk [6])
URL dieses Artikels:
https://www.heise.de/-9591871
Links in diesem Artikel:
[1] https://www.synology.com/en-global/security/advisory/Synology_SA_24_01
[2] https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-0024
[3] https://archive.synology.com/download/Os/DSMUC/3.1.2-23068
[4] https://kb.synology.com/de-de/DSM/help/DSM/AdminCenter/system_dsmupdate?version=7
[5] https://www.heise.de/news/Synology-legt-Sicherheitsupdate-fuer-DSM-6-2-gegen-Pwn2own-Luecken-nach-9061220.html
[6] mailto:dmk@heise.de
Copyright © 2024 Heise Medien