Der taiwanesische Hersteller Synology hat erneut eine Sicherheitswarnung an Kunden herausgegeben. Dieses Mal sind Nutzer von Synology-Routern betroffen, die VPN-Plus-Server einsetzen. Es gibt einen Patch, aber noch kaum Informationen zu der Sicherheitslücke.

Wenige Details zum Patch verfügbar

Das meldet unter anderem Caschy in seinem Weblog . Synology hat demnach eine als kritisch eingestufte Sicherheitslücke in der Anwendung VPN Plus Server for SRM entdeckt. Betroffen sind die Versionen VPN Plus Server for SRM 1.3 und VPN Plus Server for SRM 1.2. Für beide Versionen stehen Updates zur Verfügung, die die Sicherheitslücke stopfen.Nutzern von VPN Plus Server für SRM 1.3 wird ein Update auf 1.4.4-0635 oder höher empfohlen. Nutzer von VPN Plus Server können auf 1.4.3-0534 oder höher aktualisieren. Bisher hat das Unternehmen noch nicht viel über die Schwachstelle verraten. Es ist daher auch noch nicht bekannt, ob es eine aktive Ausnutzung dieser Sicherheitslücke gibt oder nicht. So oder so sollten Nutzer jetzt aber schnellstmöglich handeln und das Update ausführen.In der Sicherheitswarnung fasste Synology das Problem wie folgt zusammen:"Eine Sicherheitslücke erlaubt entfernten Angreifern die Ausführung beliebiger Befehle über eine anfällige Version von Synology VPN Plus Server." Weitere Details werden erst freigegeben, wenn das Update bereits bei den betroffenen Nutzern angekommen ist. Einen entsprechenden CVE-Eintrag gibt es derzeit noch nicht.Gemeldet hatte der Sicherheitsforscher Kevin Wang die Schwachstelle. Wang hatte bereits im Oktober eine ähnliche Sicherheitslücke entdeckt und an das Unternehmen gemeldet.