發布日期: 2017年 5月 29日
Synology 網絡儲存設備 (NAS) 中的DSM存在一個漏洞。遠端攻擊者如能登入已獲授權的帳號,可利用此漏洞,先上載共用程式庫於可供寫入的共用資料夾上,然後就可以執行共用程式庫內程式碼。
所有使用以下軟件的Synology型號:
成功攻擊這個漏洞可導致執行任意程式碼及控制受影響的系統。
用戶應檢查他們的Synology網絡儲存設備是否受到影響。用戶可到 DSM「Control Panel」,選擇「Info Center」下的「General」標籤以顯示正在使用的型號和DSM版本。
Synology已為受影響產品發行了DSM 6.1.1-4及DSM 6.0.3-1更新程式以應對以上問題。有關的DSM更新程式可透過「Control Panel」的「Update & Restore」獲取,或從以下網址下載:
https://www.synology.com/en-global/support/download
https://www.synology.com/en-global/support/security/Important_Information_Regarding_Samba_Vulnerability_CVE_2017_7494
https://www.hkcert.org/my_url/zh/alert/17052501
https://www.us-cert.gov/ncas/current-activity/2017/05/24/Samba-Releases-Security-Updates
https://www.samba.org/samba/security/CVE-2017-7494.html
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-7494