ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Storage

Synology: 15 teils kritische Sicherheits­lücken in der Surveillance Station

Frank Hüber
23 Kommentare
Synology: 15 teils kritische Sicherheits­lücken in der Surveillance Station
Bild: Synology

Gleich 15 Sicherheitslücken musste Synology in der Surveillance Station für die NAS-Systeme des Unternehmens schließen. Nutzer der Zusatzsoftware aus Synology-NAS sollten das bereitgestellte Update schnell installieren, da Angreifer über die Sicherheitslücken Daten abgreifen und Schadcode ausführen können.

CVSS Score von 9,9

In der Sicherheitsmitteilung Synology-SA-24:04 informiert Synology über die inzwischen geschlossenen Sicherheitslücken, die teils als kritisch eingestuft werden. CVE-2024-29241 erreicht einen CVSS-Wert (Common Vulnerability Scoring System) von 9,9 auf der bis 10 reichenden Skala. Die Lücke ermöglichte es Angreifern in der System-webapi-Komponente eine fehlende Autorisierung ausnutzen, um Sicherheitseinschränkungen zu umgehen. Über zwei mit 7,7 eingestufte Sicherheitslücken (CVE-2024-29228 und CVE-2024-29229) in der „GetStmUrlPath“- und „GetLiveViewPath“-webapi-Komponente können Angreifer auf sensible Informationen zugreifen. Die anderen zwölf Sicherheitslücken weisen ein mittleres Risiko auf.

Wie genau die jeweiligen Sicherheitslücken ausgenutzt werden können, das verrät Synology wie bei derartigen Bekanntgaben üblich nicht, um es Angreifern nicht unnötig einfach zu machen.

Die Synology Surveillance Station ist ein Zusatz-Paket für die NAS von Synology, die aus ihnen ein NVR-System (Network Video Recorder) macht, mit dem sich eine IP-Kameraüberwachung umsetzen lässt.

Update für DSM 6.2, 7.1 und 7.2

Nutzer der Surveillance Station für den DiskStation Manager (DSM) 7.2 und 7.1 müssen mindestens auf Version 9.2.0-11289 der Surveillance Station aktualisieren, um die Sicherheitslücken zu schließen. Wer auf dem NAS hingegen noch DSM 6.2 einsetzt, etwa weil kein Upgrade auf DSM 7.2 möglich ist, muss die Surveillance Station mindestens auf Versionsnummer 9.2.0-9289 aktualisieren, um sie gegen die 15 Sicherheitslücken zu wappnen.

Auch Client-Software betroffen

Nicht nur in der Surveillance Station selbst wurden Lücken geschlossen, sondern auch in der Client-Software Synology Surveillance Station Client wurde eine Lücke geschlossen, über die Angreifer beliebigen Code ausführen konnten. Details hierzu in Form eines CVE-Eintrags und einer CVSS-Einstufung bleibt Synology bislang schuldig, empfiehlt aber möglichst schnell ein Update auf Version 2.2.0-2507 oder neuer, die die Lücke schließt.

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz