Synology dicht kwetsbaarheden in NAS-software
NAS-fabrikant Synology heeft verschillende beveiligingsupdates uitgebracht voor kwetsbaarheden in producten van het bedrijf. Een beveiligingslek in de Synology Cloud Station sync-client voor Mac OS X zorgde ervoor dat een lokale gebruiker met verminderde rechten rootrechten op het systeem kon krijgen.
Het probleem werd veroorzaakt door het bestand "client_chown" van de sync-client waarmee gebruikers de eigenaar van bestanden konden aanpassen. Standaard wordt het bestand met het setuid "root" geïnstalleerd. Hierdoor kan een gebruiker eigenaarschap van willekeurige systeembestanden veranderen en zo rootrechten krijgen. Synology heeft versie 3.2-3475 uitgebracht om het probleem op te lossen. Als oplossing is het bsetand client_chown nu verwijderd, zo laat het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit weten.
DiskStation Manager en Photo Station
Tevens zijn er ook updates voor Synology DiskStation Manager en Synology Photo Station verschenen. Het Nederlandse Securify had een cross-site scriptingprobleem in DiskStation Manager ontdekt waardoor een aanvaller sessietokens en inloggegevens zou kunnen stelen. In het geval van Photo Station ging het om een command injectionprobleem waardoor een aanvaller willekeurige commando's met de rechten van de webserver kon uitvoeren. Hiermee zou het mogelijk zijn om een DiskStation NAS en alle data daarop te compromitteren.
Photo Station en Cloud Station zijn optionele packages en staan los van DSM, dezen werk je bij via het Package Center.
De precieze nieuwswaarde van dit bericht is mij ook niet helemaal duidelijk; de DSM update is er al een tijdje (en was toen geen nieuwsbericht waard blijkbaar) en van de andere problemen heb je alleen last als je ook die packages gebruikt... kleine doelgroep lijkt mij.
Deze melding loopt een beetje achter omdat versie 3.2-3475 al langer uit is. 26 mei is deze versie juist ge-update naar versie 3.2-3479
Deze melding loopt een beetje achter omdat versie 3.2-3475 al langer uit is. 26 mei is deze versie juist ge-update naar versie 3.2-3479
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.