概要

Synology は、DiskStation Manager (DSM) ソフトウェアの深刻な脆弱性に対処するため、緊急のセキュリティ更新を発行しました。この脆弱性が修正されない場合、認証なしで攻撃者がネットワーク接続型ストレージ (NAS) デバイス上で任意のコマンドを実行できる可能性があります。

詳細情報

このセキュリティイベントは Synology-SA-26:03 として追跡されており、CVSS v3 の基準スコアが最大で9.8（10点満点）と評価されています。脆弱性の原因は GNU Inetutils パッケージ内の telnetd サービスにあります。

脆弱性の詳細

この問題は、Telnet デーモンの LINEMODE SLC（Set Local Characters）サブオプションハンドラー内にあるバッファオーバーフロー欠陥です。add_slc 関数がメモリバッファーが満杯であるかどうかをチェックせずに新しいデータを書き込むため、境界外の書き込み状態が発生します。

影響範囲と対策

この脆弱性は Synology の主要なオペレーティングシステムの最近のバージョンで影響を受けています。セキュリティパッチは DSM プロダクトラインに対して既に利用可能ですが、一部の専門的なシステムに対する修正はまだ開発中です。

対策

• DSM 7.3: 7.3.2-86009-3 またはそれ以上のバージョンにアップグレード
• DSM 7.2.2: 7.2.2-72806-8 またはそれ以上のバージョンにアップグレード
• DSM 7.2.1: 7.2.1-69057-11 またはそれ以上のバージョンにアップグレード

ネットワーク管理者は、最新のファームウェア更新をすぐに適用する必要があります。パッチがまだ開発中のデバイスでは、Synology は Telnet サービスを完全に無効にするという即時対策を強く推奨しています。

結論

この脆弱性の存在により、NAS デバイスが重要なビジネスバックアップや個人情報ファイルを保持している場合、攻撃者はリモートコマンド実行を通じて深刻な脅威に晒される可能性があります。ネットワーク管理者は速やかに対策を講じることで、このリスクを軽減することが重要です。

---

元記事: https://gbhackers.com/synology-diskstation-manager-vulnerability/