[測試] Synology NAS 套件爆出多項漏洞

2021/5/27 於阿姆斯特丹 HITB 2021「Synology NAS的多個漏洞」議題中,揭露了包含:Synology Calendar、DS File APP、Media Server、Audio Station 等套件中關於密碼洩漏、密碼竊取、目錄瀏覽、 SQL Injection、緩衝區溢位的漏洞。


https://conference.hitb.org/hitb ... %20NAS%20-%20QC.pdf

尤其 Audio Station 套件的漏洞,遠端攻擊者可製造特殊封包,然後利用該漏洞可以取得 root 權限並在目標設備上執行任意指令。

參考資料:
https://www.anquanke.com/post/id/244084

可以利用知道創宇 ZoomEye 網絡搜索關鍵字 app:"Synology NAS storage-misc httpd",共發現 10154041 條 Synology NAS 的 IP 記錄。安裝了Audio Station套件且版本< 6.5.4-3367的會受到該漏洞的影響。

https://www.zoomeye.org/searchResult...
截至原作者發表漏洞,目前 Synology 尚未提供修正程式,待後續補充。

2021/5/27 於阿姆斯特丹 HITB 2021「Synology NAS的多個漏洞」議題中,揭露了包含:Synology Calendar、DS  ...
hellohelloman 發表於 2021-6-12 22:17



    DSM 5.2
6.24有冇事先

TOP

DSM 6系列 未見有新版本可更新.

TOP

Synology Calendar、DS File APP、Media Server、Audio Station

一個都無用到

TOP

回覆 1# hellohelloman


我比較想知Cisco, Draytek, Ubiquiti份 pdf。Synology呢d細雞,值錢極有限

TOP

本帖最後由 eilot 於 2021-6-13 22:44 編輯

手機只裝DS File APP ,間中用來檢視檔案用
Audio Station也間中用來聽歌,不過看官網說出了7.0,但進入套件中心還是只得6.5.6
其他就沒用

TOP

手機只裝DS File APP ,間中用來檢視檔案用
Audio Station也間中用來聽歌,不過看官網說出了7.0,但進入套 ...
eilot 發表於 2021-6-13 22:22



    要up dsm7.0先用到

TOP

要up dsm7.0先用到
暴力乂狗仔 發表於 2021-6-14 00:29


果然是7.0


昨天看了新聞後,718+機體按了更新都未推送7.0,之前還是RC版,應該還要再等多一段時間才來
不過當中也提到是有用黑S DSM 5.X來作測試,而audion station還是更早上年版本,出事故也怨不得人...
現在擔心是正常版本的DSM/套件還有沒事

TOP

同 qnap一樣的 漏洞, 點解會咁呢 ?同一班人寫?

TOP

同 qnap一樣的 漏洞, 點解會咁呢 ?同一班人寫?
sp4148 發表於 2021-6-14 12:25


個人估計, 兩者都係用open source軟件放落自己度再改
所以一出事就一齊爆鑊

TOP