发布日期: 2017年 5月 29日
Synology 网络储存设备 (NAS) 中的DSM存在一个漏洞。远端攻击者如能登入已获授权的帐号,可利用此漏洞,先上载共用程式库于可供写入的共用资料夹上,然后就可以执行共用程式库内程式码。
所有使用以下软件的Synology型号:
成功攻击这个漏洞可导致执行任意程式码及控制受影响的系统。
用户应检查他们的Synology网络储存设备是否受到影响。用户可到 DSM「Control Panel」,选择「Info Center」下的「General」标签以显示正在使用的型号和DSM版本。
Synology已为受影响产品发行了DSM 6.1.1-4及DSM 6.0.3-1更新程式以应对以上问题。有关的DSM更新程式可透过「Control Panel」的「Update & Restore」获取,或从以下网址下载:
https://www.synology.com/en-global/support/download
https://www.synology.com/en-global/support/security/Important_Information_Regarding_Samba_Vulnerability_CVE_2017_7494
https://www.hkcert.org/my_url/en/alert/17052501
https://www.us-cert.gov/ncas/current-activity/2017/05/24/Samba-Releases-Security-Updates
https://www.samba.org/samba/security/CVE-2017-7494.html
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-7494