Synology patcht schwerwiegende Sicherheitslücke

Auf den NAS-Systemen von Synology klafft aktuell eine Sicherheitslücke, die Angreifern Zugriff und Datendiebstahl ermöglichen könnte.

von Simon Gröflin 27.05.2015

Synology stopft im aktuellen Firmware-Upgrade für DSM 5.2 einige Schwachstellen. Eine davon ermöglicht unter ganz bestimmten Umständen Zugriff auf Daten des Anwenders. Die schwerwiegendste Lücke klafft in der Photo Station. Die Photo-Station-Anwendung erlaubt das Anlegen und Verwalten von Online-Fotoalben. Jedoch betrifft das im Wesentlichen Anwender, die von extern über eine öffentliche IP bzw. DynDNS-Umleitung auf den Dienst zugreifen.

Security-Forscher der niederländischen Firma Securify haben festgestellt, dass die Photo-Station-Anwendung bei externem Zugriff nicht sauber zwischen validen und unsicheren Benutzereingaben unterscheide. Angreifer könnten unter ganz bestimmten Umständen mit Adminprivilegien des Web Servers Zugriff auf Daten erlangen. Ausserdem soll die Photo Station nur über einen unzureichenden Schutz gegen sogenannte Cross-Site-Scripting-Attacken verfügen: eine Technik, bei der eine Sicherheitslücke in Webanwendungen ausgenutzt wird. Meist findet ein solcher Angriff über eine Schadcode einschleusende JavaScript-Anwendung einer anderen Webseite statt. Ganz theoretisch könnte sogar ein Angreifer auch jemanden im selben Netzwerk (z.B. im Firmennetzwerk) zu einer präparierten Webseite bewegen, um die Schwachstelle gezielt auszunutzen. 

Es wird geraten, sobald wie möglich auf DSM 5.2-5565 Update 1 zu aktualisieren. Die Software-Updates für die NAS-Geräte findet man entweder im Download-Zentrum oder in der Systemsteuerung des DSM unter dem Menüpunkt Aktualisieren & Wiederherstellen. 

(via PCWorld)

Tags: Synology, NAS

    Kommentare

    • jachen 28.05.2015, 09.54 Uhr

      Also doch, ein Loch. Ich dachte vorerst einen Fehler bei der Einrichtung gemacht zu haben, nachdem das Einrichten der Photostation seit jeher in keiner Weise intuitiv vonstatten ging. Besonders das Aufsetzen von privaten Photostations ist keineswegs trivial für einen Normalsterblichen. Wenn man dann noch die kryptische Remote-Anmeldeadresse mit Signatur in Betracht zieht (https://know-how.ch/~namen/photo/#!Albums) wundert man sich nicht mehr, dass die Anwendung in Foren oftmals verflucht wir[...]

    weitere Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.