Kritieke bug in de Synology VPN Plus server

[Briolet]

https://www.synology.com/en-global/security/advisory/Synology_SA_22_26

CVE-2022-43931
Severity: Critical
- CVSS3 Base Score: 10.0
- CVSS3 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
- Out-of-bounds write vulnerability in Remote Desktop Functionality in Synology VPN Plus Server before 1.4.3-0534 and 1.4.4-0635 allows remote attackers to execute arbitrary commands via unspecified vectors.

Een score van 10 is het hoogste wat er is.

[Babylonia]

before  1.4.3-0534 and 1.4.4-0635 allows remote attackers to execute arbitrary commands via unspecified vectors.

Is het niet wat oud nieuws?

Ik zit al  meer dan een jaar  op VPN Plus versie  1.4.3-0534  voor SRM 1.2    met wat minimaal nodig zou zijn als fix
                                      --->  VPN Plus versie  1.4.4-0635  voor SRM 1.3    dateert al van mei 2022

Maar zit daar inmiddels al    op VPN Plus versie  1.4.5-0684  voor SRM 1.3.1  = nog een versie verder  (ook al twee maanden).

 
https://www.synology.com/en-global/security/advisory/Synology_SA_22_26

Kijk naar datums van de release notes:  https://www.synology.com/en-me/releaseNote/VPNPlusServer

(En dan staan pakketten zelfs nog wat eerder op de download servers dan hiervoor reeds benoemd als datum).
Download VPN Plus Server pakketten:    https://archive.synology.com/download/Package/VPNPlusServer

[Briolet]

Is het niet wat oud nieuws?

Deze bug is op 30 december vorig jaar door Synology gepubliceerd. Dat is nog geen week geleden. En de laatste update van die pagina was gisteren.

Verder heb ik niet naar versies gekeken. Ik nam aan dat versies met bugfixes dan ook heel nieuw moesten zijn. Het is ongebruikelijk dat je bugmeldingen doet voor oude versies terwijl die in de nieuwe software al heel lang opgelost is. (blijkbaar per ongeluk opgelost)

Blijkbaar is deze bug zo kritiek dat men nogmaals wil benadrukken dat men moet updaten.

[Babylonia]

Nee, alleen de melding met wat men in die security web-pagina adviseert, is vaak niet up-to-date.
Die informatie komt vaker als "mosterd na de maaltijd".
Is de fix al wijd en breed gecorrigeerd, alleen rond men de informatie erover dan nog niet af bij die web pagina's.
Kennelijk een ondergeschoven kindje die informatie?

Heb dat al eens eerder opgemerkt (een jaar of wat geleden), en Synology daar toen al op gewezen.
Maar kennelijk is dat niet opgepikt en zorgt dit soort info dan voor verwarring.

Misschien eind van het jaar als alle jaarstukken worden opgemaakt, en ook alle interne info voorziening wordt doorgenomen,
is het opgemerkt en alsnog als info aangepast??   Wie weet.

[D4nny]

Deze is wel vrij nieuw en wordt ook bestempeld als critical:

Synology-SA-22:25 SRM

Publish Time: 2022-12-22 13:44:47 UTC+8 Last Updated: 2023-01-06 10:14:24 UTC+8

Abstract

Multiple vulnerabilities allow remote attackers to execute arbitrary command, conduct denial-of-service attacks or read arbitrary files via a susceptible version of Synology Router Manager (SRM).

Synology security advisory

Synology firmware releases

Bericht in de media op Security.nl

[Briolet]

wordt ook bestempeld als critical:

Alleen heeft deze een base score van 7.5 en de vorige 10.0 (op de schaal tot 10).

Opvallend is dat deze nieuwe een volgnummer heeft die lager is dan de vorige gemelde. Dus eerder ontdekt (zie de sucurity.nl link van Danny).