Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: Briolet op 22 december 2014, 10:26:15
-
Ik las gisteren op security.nl (https://www.security.nl/posting/412744/Kritieke+lekken+in+Network+Time+Protocol+%28NTP%29+ontdekt) dat er 18 december een kritiek lek in het NTP protocol ontdekt is. Dus kunnen we aannemen dat er binnenkort weer een security update voor de diverse DSM versies uitkomt. :P
Het NTP protocol is dat van de timeserver. De meesten zullen dit niet bewust aangezet hebben, maar als je Security Station activeert, wordt de timeserver automatisch aangezet.
Op korte termijn zal het risico niet zo groot zijn omdat weinigen de timeserver naar het internet open hebben staan. Echter, als je de nas in de DMZ van je router hebt staan en de timeserver is actief, dan ben je op dit moment wel kwetsbaar.
STACK-BASED BUFFER OVERFLOWS
A remote attacker can send a carefully crafted packet that can overflow a stack buffer and potentially allow malicious code to be executed with the privilege level of the ntpd process. All NTP4 releases before 4.2.8 are vulnerable.
This vulnerability is resolved with NTP-stable4.2.8 on December 19, 2014.
CVE-2014-9295i has been assigned by CERT/CC to this vulnerability. A CVSS v2 base score of 7.3 has been assigned; the CVSS vector string is (AV:N/AC:L/Au:N/C:P/I:P/A:P).
MISSING RETURN ON ERROR
In the NTP code, a section of code is missing a return, and the resulting error indicates processing did not stop. This indicated a specific rare error occurred, which does not appear to affect system integrity. All NTP Version 4 releases before Version 4.2.8 are vulnerable.
This vulnerability is resolved with NTP-stable4.2.8 on December 19, 2014.
CVE-2014-9296l has been assigned by CERT/CC to this vulnerability. A CVSS v2 base score of 5.0 has been assigned; the CVSS vector string is (AV:N/AC:L/Au:N/C:N/I:N/A:P).
-
Apple heeft vandaag een update voor dit lek uitgebracht. :lol:
Meestal is Synology sneller bij dit soort lekken.