Synology DiskStation Manager (DSM) 4.3-3776 - Multiple Vulnerabilities

[tron911]

also gut ... eben Update gemacht auf die DSM 4.3-3810 Update 3

geht leider immer noch

https://diskstation:5001/webfm/webU.../////////////../../../../../etc/synoinfo.conf

https://diskstation:5001/phpsrc/web/sample.php


Audiostation hab ich nicht aktiv also geht das nicht

https://diskstation:5001/webapi/audiostation.auth


und auch das hier geht bei mir nicht

https://diskstation:5001/webfm/sql/SharingMgrTemp.sql

inwieweit die angezeigten Informationen Sicherheitsrelevant sind erschliesst sich mir nicht genau. Aber der Fakt das man bei Abaenderung der URL an Daten kommt die man nicht sehen soll laesst vermuten das man mit einer entsprechenden URL an weitere Daten kommt um sich eventuell einen nicht erwuenschten Zugang zu verschaffen. Also alles beim alten ?

 

[Matthieu]

Der erste Link auf synoinfo geht - allerdings nur oberflächlich. Egal welchen Pfad man angibt, es wird immer die korrekte Datei ausgegeben (nämlich die mit den übersetzten Texten die auf jeder DS liegt und sicherheitstechnisch in dieser Form nicht relevant ist) und nicht die im Pfad angegebene. Ich vermute mal die Pfadangabe wird vom Skript gar nicht mehr ausgewertet sondern übergangen.

Der zweite Link enthält Pfade für die Vorlagen von Synology für die Fehlermeldungen. Warum die samples-Datei nun den Quelltext auswirft ist mir schleierhaft, aber auch nicht sicherheitsrelevant solange man keinen schreibenden Zugriff erhält. Wenn Synology meint den eigenen Quelltext ausbreiten zu müssen, dann bitte.

Link #3 ist Teil einer API und damit gewollt öffentlich zugänglich. Mehr Infos gibts bei Synology und auch hier: https://dsmwebapi.codeplex.com/

Der letzte Link geht bei mir trotz installierter AudioStation nicht.

MfG Matthieu

 

[tron911]

was mich aber doch etwas nervoes macht ist folgendes. Gibt es nun eine URL die etwas auswirft mit dem man sich als Admin einloggen kann oder nicht ? Ich will ja auch nicht das es hier jemand hinschreibt aber dann bliebe mir bei dem NAS das ich noch in den fingern habe nur bestimmte Daten in ein Truecrypt Volume zu tun und das aufs NAS zu legen. Zumindest waere dann ein Webzugriff auf Files im TC-Container nicht moeglich ... da muesste man schon den PC in der Mangel haben auf dem das TC Volume offen ist

 

[Matthieu]

Nein es gibt nichts dergleichen.

MfG Matthieu

 

[bfpears]

Hi zusammen,
ich bin etwas spät dran.

@dan-syn: die CT hat in der 01.2014 wieder über NASe berichtet und die Sicherheitslücken in der Diskstation.

war für mich der Grund mal Updates zu installieren und ein paar Tage später mal nach mehr Infos zu suchen.

@ rthx die DSM 4.0 ist bestimmt betroffen da DSM 3.1 auch betroffen ist (getestet auf einer 107+)

für DSM 4.2 und älter ist das Update erst Mitte bis Ende November gekommen. Wenn die Zeile "Enhanced the overall security of DSM." in den Release Notes das umschreibt.
14.11 für meine 109+ mit DSM 4.2
27.11 für eine 107+ mit DSM 3.1

Was halten die Moderatoren davon ein Forumsbereich für Sicherheitsfragen einzurichten, ich finde das dieser wichtige Thread unter ...Sonstiges etwas untergeht (auch wenn er angepinnt ist), auch wegen des sperrigen Titels weil ja auch ältere Versionen betroffen sind.

Ich habe mich jetzt bei myDS Center für Newsletter für meine DS angemeldet, aber ich gehe davon aus das ich erst Nachricht bekommen wenn die neue Firmware fertig ist. Aber mal sehen.
In meinem Fall DSM 4.2, war ja Mitte September bekannt das es ein ernstes Problem gibt, das Update ist aber erst am 14.11 erschienen.
In der Zeit hätte man ja die Freigaben für DSM, Filestation, Downloadstation, usw entfernen sollen.

Andrea Fabrizi der anscheinend die Lücke entdeckt hat hat Anfang Dezember noch entdeckt das ein "normaler" User System Dateien ändern kann.
http://www.andreafabrizi.it/?exploits:dsm_2

BF

PS: ich habe Glück gehabt, denn ich hatte von Vornherein eine eigene eMail-Adresse zum versenden erstellt, mit einem "billigen Passwort"

 

[Matthieu]

Andrea Fabrizi der anscheinend die Lücke entdeckt hat hat Anfang Dezember noch entdeckt das ein "normaler" User System Dateien ändern kann.
http://www.andreafabrizi.it/?exploits:dsm_2

Dort ist eine Timeline aufgeführt - 14 Tage vom Melden bis zum Fix finde ich in Ordnung. Sicher geht es noch besser, aber diesen Zeitraum sollte jeder ehrliche Finder einräumen können.

MfG Matthieu

 

[jahlives]

Dort ist eine Timeline aufgeführt - 14 Tage vom Melden bis zum Fix finde ich in Ordnung. Sicher geht es noch besser, aber diesen Zeitraum sollte jeder ehrliche Finder einräumen können.

wenn das stimmt, dann finde ich das auch sehr schnell. Sehr namhafte Hersteller haben teilweise seeeeeeeehr viel länger bis zu einem Fix ;-)
Zudem war - wenn ich den Thread richtig im Kopf habe - das meiste ja nur bei Zugriff auf den DSM ausnutzbar. Wir sagen ja nicht umsonst, dass man es sich immer zweimal überlegen soll welche Dienste man öffentlich erreichbar machen will.