CVE-2024-10442: Synology Replication Service Vulnerability Scores Maximum CVSS Rating
2025/03/20 SecurityOnline — Synology が公表したのは、Replication Service の深刻な脆弱性を詳述する、セキュリティ・アドバイザリの更新である。この脆弱性の悪用に成功したリモート攻撃者は、影響を受けるシステム上で任意のコマンド実行の可能性を手にする。
この脆弱性 CVE-2024-10442 (CVSS3:10.0) は、Synology Replication Service の送信コンポーネントにおける、off-by-one エラーに起因する。また、影響の範囲は、Synology Unified Controller (DSMUC)/Synology DSM の各種バージョンもおける、Replication Service となる。この脆弱性が悪用されると、システム全体に広範な影響が及ぶ恐れが生じる。この脆弱性を報告したのは、Jack Dates | RET2 Systems (jack@ret2.io) である。
この脆弱性が影響を及ぼすのは、以下の製品である:
- DSMUC 3.1
- Replication Service for DSM 7.2/7.1/6.2
すでに Synology は、以下のアップデートをリリースし、この脆弱性に対処している:
- DSMUC 3.1:3.1.4-23079 以上に更新
- Replication Service for DSM 7.2:1.3.0-0423 以上に更新
- Replication Service for DSM 7.1:1.2.2-0353 以上に更新
- Replication Service for DSM 6.2:1.0.12-0066 以上に更新
影響を受ける製品のユーザーに、強く推奨されるのは、対応するアップデート・バージョンへの、速やかな更新である。
このブログでは初登場の Synology Replication Service ですが、ベンダのサイトでは、「撮影されたスナップショットをソースからディスティネーションに複製するための機能を提供するコア・サービス。このパッケージは単独では実行されず、スナップショットの機能を提供するコア・パッケージに依存する」と紹介されていました。また、昨日に、Synology の別製品の脆弱性に関する記事をポストしています。よろしければ、Synology で検索と併せて、ご利用ください。
2025/03/19:Synology Camera の CVE-2024-11131 が FIX
2025/03/19:Synology 製品群の CVE-2024-10441 などが FIX
IoT OT Security News 
You must be logged in to post a comment.