Synology 修复网络设备漏洞

重要信息摘要

Synology发布了两个安全通知，提醒客户关于最近发现的多个漏洞的修复补丁。第一个通知涉及到Synology VPN PlusServer远程桌面功能中的越界写入漏洞，可能使远程攻击者能够执行任意命令。第二个通知则详细描述了影响Synology路由器管理器的多个漏洞，这些漏洞可能被利用进行拒绝服务攻击、读取任意文件和执行任意命令。此外，第二个通知还对发现并报告这些漏洞的人员给予了赞扬，包括Computest和GauravBaruah，他们是Trend Micro零日计划的成员。

详细内容

Synology是一家总部位于台湾的网络及存储解决方案提供商。根据的报道，该公司在去年年底之前发布了两个安全通告，通知其客户已经发布了对几项新发现漏洞的补丁。

在第一个通知中，Synology描述了其VPNPlus服务器的远程桌面功能中的越界写入漏洞。这一漏洞可能使得远程攻击者能够发起任意命令，从而对用户系统造成潜在风险。

第二个通知重点说明了影响Synology路由器管理器的多个漏洞。这些漏洞可以被恶意攻击者通过以下方式利用：

漏洞类型 | 可能的攻击手段
—|—
拒绝服务攻击 | 使目标设备无法提供正常服务
读取任意文件 | 未经授权访问系统内的敏感信息
执行任意命令 | 对设备进行非法控制

此外，第二个通知还特别感谢了发现并报告这些漏洞的研究人员，尤其是Computest和Gaurav Baruah，他们参与了TrendMicro的零日计划。这一过程中，发现的其他漏洞也在上个月的Pwn2Own Toronto2022黑客竞赛中首次得到展示，参与者因此获得了超过80,000美元的奖励，对Synology的路由器和NAS设备进行了攻破。

有关更多信息，请参见以下链接： 和 。