Synology hat die Version 6.1.3-15152 seines NAS Betriebssystems DSM veröffentlicht. Dieses Update erfordert einen Neustart der NAS, ihr solltet also das Update einplanen.
Es sind auch wieder Sicherheitspatche dabei:
Nginx:
Nginx versions since 0.5.6 up to and including 1.13.2 are vulnerable to integer overflow vulnerability in nginx range filter module resulting into leak of potentially sensitive information triggered by specially crafted request.
FFmpeg
FFmpeg before 2.8.12, 3.0.x and 3.1.x before 3.1.9, 3.2.x before 3.2.6, and 3.3.x before 3.3.2 does not properly restrict HTTP Live Streaming filename extensions and demuxer names, which allows attackers to read arbitrary files via crafted playlist data.
Zu dem Patch bezüglich der DSM Login Page, gab es leider nichts weiteres. Daher kann ich nur jedem empfehlen das Update zügig einzuspielen. Die Lücke wird bestimmt in naher Zukunft öffentlich gemacht und dann auch aktiv genutzt werden.
Ansonsten wurde auch einige Fehler im System selbst behoben.
Fixed Issues in 6.1.3-15152
- Fixed an issue where some packages might not be repaired automatically.
- Fixed an issue where the creation of SSD cache might fail on DS1817.
- Fixed multiple issues regarding quota configuration for users in the administrators group.
- Fixed an issue where the trusted domain might not display after the deletion and refresh of domain list.
- Fixed an issue where a connection timeout might occur upon the access to file service page without any available external IP addresses.
- Fixed an issue where DSM might fail to establish the network connection after reboot.
- Fixed a security vulnerability regarding FFmpeg (CVE-2017-9993).
- Fixed a security vulnerability regarding DSM login page (CVE-2017-9553, CVE-2017-9554).
- Fixed a security vulnerability regarding Nginx (CVE-2017-7529).