安全通告-Synology VPN Plus Server越界写入漏洞风险提示(CVE-2022-43931)
发布时间:2023-01-09
阅读次数:2048
一、 漏洞公告
近日,监测到Synology官方发布了安全公告,修复了Synology VPN Plus Server越界写入漏洞(CVE-2022-43931),CVSS评分10.0。该漏洞允许远程攻击者在无需交互的情况下在目标主机执行任意命令或代码。官方已发布安全版本,建议受影响的用户尽快采取安全措施。
参考链接: https://www.synology.com/en-us/security/advisory/Synology_SA_22_26
二、影响范围
受影响版本:
Synology VPN Plus Server for SRM 1.2 < 1.4.3-0534
Synology VPN Plus Server for SRM 1.3 < 1.4.4-0635
安全版本:
Synology VPN Plus Server for SRM 1.2 ≥1.4.3-0534
Synology VPN Plus Server for SRM 1.3 ≥1.4.4-0635
三、漏洞描述
Synology(群晖科技)是全球知名的网络存储解决方案提供商。VPN Plus Server可将Synology Router变成VPN服务器,允许通过Web浏览器或客户端进行安全的VPN访问。
Synology VPN Plus Server越界写入漏洞(CVE-2022-43931):在1.4.3-0534和1.4.4-0635版本之前的Synology VPN Plus Server远程桌面功能存在越界写入漏洞,远程攻击者能够利用该漏洞在无需交互的情况下在目标主机执行任意命令或代码。
四、缓解措施
高危:目前漏洞细节和测试代码暂未公开,但恶意攻击者可以通过补丁对比分析出漏洞触发点,建议受影响用户及时更新至安全版本。
官方建议:
1、目前Synology官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本。
下载链接:
https://www.synology.com/en-us/support/download
来源:Synology官方
/
网络安全