Diese drei kritischen Schwachstellen sind im Out-of-Band-Management (OOB) von NAS-Geräten zu finden. Puffergrenzen können beim Entschlüsseln von Paketen außer Kraft gesetzt werden (CVE-2022-27624, Critical). Solche Pufferüberläufe können auch beim Verarbeiten von Nachrichten auftreten (CVE-2022-27625, CVSS 10, kritisch). Beim Betrieb mit gemeinsam genutzten Ressourcen kann eine unzureichende Synchronisation zu sogenannten Race Conditions führen, die es Angreifern auch ermöglichen, beliebige Befehle auszuführen (CVE-2022-27626, CVSS 10, kritisch). Ein Fehler in der Handhabung von OOB-Sitzungen (Zugriff über das Speicherlimit hinaus und damit Abfluss vertraulicher Informationen) scheint weniger schwerwiegend zu sein (CVE-2022-3576, Moderat).
Um die aktualisierte Firmware zu installieren, sollten Administratoren die Pat-Datei, die das Update enthält, entsprechend ihrem Gerät und der installierten Version von der Synology-Downloadseite auswählen und herunterladen. Nun sollten Sie die Seite „Manuelles DSM-Update“ in der Benutzeroberfläche des Geräts öffnen und die .pat-Datei auswählen, indem Sie dort auf „Durchsuchen“ klicken. Das Update wird gestartet, wenn Sie „Übernehmen“ auswählen.
Quelle:
https://www.synology.com/de-de/security/advisory/Synology_SA_22_17