Bản vá bảo mật Synology-SA-22:17 DSM
Synology-SA-22:17 DSM
Mức độ: Nghiêm trọng
Trạng thái: Đã giải quyết
Nhiều lỗ hổng cho phép những kẻ tấn công từ xa lấy thông tin nhạy cảm hoặc thực hiện các lệnh tùy ý thông qua phiên bản dễ bị tấn công của DiskStation Manager (DSM).
Sản phẩm bị ảnh hưởng
| Sản phẩm | Mức độ nghiêm trọng | Tính sẵn có của bản phát hành cố định |
|---|---|---|
| DS3622xs + | Nghiêm trọng | Nâng cấp lên 7.1.1-42962-2 hoặc cao hơn. |
| FS3410 | Nghiêm trọng | Nâng cấp lên 7.1.1-42962-2 hoặc cao hơn. |
| HD6500 | Nghiêm trọng | Nâng cấp lên 7.1.1-42962-2 hoặc cao hơn. |
Mitigation: None
Chi tiết
CVE-2022-27624
- Mức độ nghiêm trọng: Nghiêm trọng
- CVSS3 Base Score: 10.0
- CVSS3 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
- Một lỗ hổng liên quan đến việc hạn chế không đúng các hoạt động trong giới hạn của bộ đệm bộ nhớ được tìm thấy trong chức năng giải mã gói tin của Quản lý ngoài băng tần (OOB). Điều này cho phép những kẻ tấn công từ xa thực hiện các lệnh tùy ý thông qua các vectơ không xác định. Các dòng máy có phiên bản Synology DiskStation Manager (DSM) trước 7.1.1-42962-2 có thể bị ảnh hưởng: DS3622xs +, FS3410 và HD6500.
CVE-2022-27625
- Mức độ nghiêm trọng: Nghiêm trọng
- Điểm cơ bản CVSS3: 10,0
- CVSS3 Vector: CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: H / A: H
- Một lỗ hổng liên quan đến việc hạn chế không đúng các hoạt động trong giới hạn của bộ đệm bộ nhớ được tìm thấy trong chức năng xử lý thông báo của Quản lý ngoài băng tần (OOB). Điều này cho phép những kẻ tấn công từ xa thực hiện các lệnh tùy ý thông qua các vectơ không xác định. Các dòng máy có phiên bản Synology DiskStation Manager (DSM) trước 7.1.1-42962-2 có thể bị ảnh hưởng: DS3622xs +, FS3410 và HD6500.
CVE-2022-27626
- Mức độ nghiêm trọng: Nghiêm trọng
- Điểm cơ bản CVSS3: 10,0
- CVSS3 Vector: CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: H / A: H
- Một lỗ hổng liên quan đến việc thực thi đồng thời bằng cách sử dụng tài nguyên được chia sẻ với đồng bộ hóa không thích hợp (‘Điều kiện cuộc đua’) được tìm thấy trong chức năng xử lý phiên của Quản lý ngoài băng tần (OOB). Điều này cho phép những kẻ tấn công từ xa thực hiện các lệnh tùy ý thông qua các vectơ không xác định. Các dòng máy có phiên bản Synology DiskStation Manager (DSM) trước 7.1.1-42962-2 có thể bị ảnh hưởng: DS3622xs +, FS3410 và HD6500.
CVE-2022-3576
- Mức độ nghiêm trọng: Trung bình
- Điểm cơ bản CVSS3: 5,3
- CVSS3 Vector: CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: L / I: N / A: N
- Một lỗ hổng liên quan đến việc đọc ngoài giới hạn được tìm thấy trong chức năng xử lý phiên của Quản lý ngoài băng tần (OOB). Điều này cho phép những kẻ tấn công từ xa có được thông tin nhạy cảm thông qua các vectơ không xác định. Các dòng máy có phiên bản Synology DiskStation Manager (DSM) trước 7.1.1-42962-2 có thể bị ảnh hưởng: DS3622xs +, FS3410 và HD6500.
Nhìn nhận
Vấn đề này đã được phát hiện trong nội bộ Synology PSIRT.
Bản sửa đổi
| Bản sửa đổi | Ngày | Description |
|---|---|---|
| 1 | 20-10-2022 | Bản phát hành công khai lần đầu. |
