News 27.05.2015, 08:31 Uhr

Synology patcht schwerwiegende Sicherheitslücke

Auf den NAS-Systemen von Synology klafft aktuell eine Sicherheitslücke, die Angreifern Zugriff und Datendiebstahl ermöglichen könnte.
Synology stopft im aktuellen Firmware-Upgrade für DSM 5.2 einige Schwachstellen. Eine davon ermöglicht unter ganz bestimmten Umständen Zugriff auf Daten des Anwenders. Die schwerwiegendste Lücke klafft in der Photo Station. Die Photo-Station-Anwendung erlaubt das Anlegen und Verwalten von Online-Fotoalben. Jedoch betrifft das im Wesentlichen Anwender, die von extern über eine öffentliche IP bzw. DynDNS-Umleitung auf den Dienst zugreifen.
Security-Forscher der niederländischen Firma Securify haben festgestellt, dass die Photo-Station-Anwendung bei externem Zugriff nicht sauber zwischen validen und unsicheren Benutzereingaben unterscheide. Angreifer könnten unter ganz bestimmten Umständen mit Adminprivilegien des Web Servers Zugriff auf Daten erlangen. Ausserdem soll die Photo Station nur über einen unzureichenden Schutz gegen sogenannte Cross-Site-Scripting-Attacken verfügen: eine Technik, bei der eine Sicherheitslücke in Webanwendungen ausgenutzt wird. Meist findet ein solcher Angriff über eine Schadcode einschleusende JavaScript-Anwendung einer anderen Webseite statt. Ganz theoretisch könnte sogar ein Angreifer auch jemanden im selben Netzwerk (z.B. im Firmennetzwerk) zu einer präparierten Webseite bewegen, um die Schwachstelle gezielt auszunutzen. 
Es wird geraten, sobald wie möglich auf DSM 5.2-5565 Update 1 zu aktualisieren. Die Software-Updates für die NAS-Geräte findet man entweder im Download-Zentrum oder in der Systemsteuerung des DSM unter dem Menüpunkt Aktualisieren & Wiederherstellen. 

Autor(in) Simon Gröflin



Kommentare
Es sind keine Kommentare vorhanden.