Menü
Security

Synology DSM: Updates schließen Glibc-Lücke und Root-Exploit

Der NAS-Hersteller Synology hat mehrere Lücken in seinem Betriebssystem Disk Station Manager geschlossen. Unter anderem den Glibc-Bug, der viele Linux-Systeme betrifft und eine Lücke, über die Angreifer Schadcode mit Systemrechten ausführen können.

Von
vorlesen Drucken Kommentare lesen 13 Beiträge
Synology DSM: Updated schließen Glibc-Lücke und Root-Exploit

Zwei Updates für das Betriebssystem Disk Station Manager (DSM) von Synology-Netzwerkspeichern schließen eine Reihe von Sicherheitslücken in der Software. Unter anderem stopft Synology die vor kurzem bekannt gewordene Glibc-Lücke und einen Bug in der Router-Konfiguration des DSM, der es einem Angreifer im selben Netz erlaubt, eigenen Code mit Systemrechten auf dem NAS auszuführen.

Der Root-Exploit steckt in einer Funktion, mit dem der Nutzer seinen Router über das Webinterface des Synology NAS konfigurieren kann. Konfiguriert er hier seinen Router, kann er Port-Weiterleitungen einrichten. Dabei validiert die DSM-Software die vom Router zurückgeschickten Eingaben nicht, bevor es sie an einen PHP-Syscall weiterleitet. Ein Angreifer mit Zugang zum NAS kann also einen Fake-Router einrichten, selbst Traffic erzeugen der angeblich von dem Router kommt und so eigenen Schadcode zur Ausführung bringen. Der Sicherheitsforscher, der diese Lücke entdeckte, hat sie nun bekanntgegeben – geschlossen wurde sie mit DSM 5.2-5644 Update 3 im Januar.

Mit Version 5.2-5644 Update 5 der Software schließt Synology nun auch die Lücke in Glibc (CVE-2015-7547), mit der Angreifer über manipulierte DNS-Pakete die Kontrolle über Linux-Systeme übernehmen können. Um den Angriff zu verhindern, hat Synology die Firewall-Regeln der NAS-Software angepasst. Laut dem Hersteller kommt es dazu bei einigen Modellen zu bis zu 15 Prozent Geschwindigkeitsverlust beim Lesen und Schreiben auf die Platten. Die Firma will den Performance-Verlust mit einem späteren Update angehen.

Weitere Details zu den Updates gibt bei Synology. (fab)