Synology waarschuwt voor kwetsbaarheid in VPN-software van routers

[webkabouter]

Synology waarschuwt voor een beveiligingslek in de VPN Plus Server-software voor het SRM 1.2-besturingssysteem van de routers van het merk. Het gaat om een kwetsbaarheid waardoor aanvallers vanaf afstand SQL-opdrachten kunnen uitvoeren en daardoor bestanden kunnen manipuleren. Meer informatie wordt niet gegeven.

Het bedrijf beschouwt de ernstigheid van de kwetsbaarheid zelf als 'matig', maar de Duitse cyberveiligheidsdienst BSI geeft hem een 'kritieke' cvss-basisscore van 9.1. De kwetsbaarheid was ook aanwezig in de 1.3-versie van het besturingssysteem, maar inmiddels is deze met de 1.4.6-0685-patch opgelost. Synology geeft geen tijdelijke tegenmaatregelen.

Bron: https://nl.hardware.info/nieuws/85107/synology-waarschuwt-voor-kwetsbaarheid-in-vpn-software-van-routers

[Birdy]

Synology-SA-23:04 VPN Plus Server

[D4nny]

Als ik het goed begrijp gaat het dan om een issue met VPN plus software voor versie 1.4.6-0685.

Voor SRM 1.3 is er al een update beschikbaar van dit package waarin de bug geplet is (heel recentelijk als ik het zo lees) maar voor SRM 1.2 is er nog geen fix...

[Birdy]

Klopt, zie mijn link

[Babylonia]

Die nieuwe versie VPN Plus voor SRM 1.3.1 heb ik inmiddels ook geïnstalleerd.
Het is de vraag of Synology voor de "verouderde" versie SRM 1.2  daar alsnog een update patch voor gaat uitbrengen?
Of ze dat belangrijk genoeg vinden, omdat SRM 1.2. niet meer zal worden ondersteund  vanaf 31 mei 2023.

Dus maar even afwachten.

[D4nny]

omdat SRM 1.2. niet meer zal worden ondersteund  vanaf 31 mei 2023.

Dus maar even afwachten.

versie 1.2.5 blijft nog ondersteund :

Merk op dat de volgende Synology-software vanaf 31 mei 2023 niet meer beschikbaar is:
Netwerken (SRM)
Versie 1.0 - 1.1.6 en 1.2 - 1.2.4