Eine schwerwiegende Sicherheitslücke wurde von Synology in der Software für DiskStation NAS-Geräte geschlossen. Ein Fehler in der Fotogalerie-App Synology Photo Station erlaubte die Ausführung beliebigen Codes mit den Rechten des Webservers. Wenn ein Angreifer weiß, wo die App im Netz gehostet wird, muss der Nutzer nur noch auf eine präparierte Webseite gelockt werden.

Mit Photo Station können Bilder, die sich auf dem NAS befinden, im Internet als Fotoalbum angezeigt werden. Eingehende Daten werden durch den Fehler allerdings nicht richtig überprüft, sodass die App von Angreifern mit manipulierten POST-Requests ausgetrickst werden kann. Ein Parameter aus dem Request wird daraufhin ungeprüft über den exec()-Befehl von PHP ausgeführt. Außerdem führt ein mangelnder Schutz vor Cross-Site Request Forgery (CSRF) außerdem dazu, dass dies durch Angreifer sehr einfach ausgenutzt werden kann.

Mit der Version 6.3-2945 von Photo Station hat Synology die Lücke geschlossen. Betroffen sind laut der Aussage eines Sicherheitsforschers mindestens Ausgaben der Version 6.2-2858.

(kt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE