Multiples vulnérabilités dans les produits Synology

Gestion du document

Référence	CERTFR-2021-AVI-747
Titre	Multiples vulnérabilités dans les produits Synology
Date de la première version	01 octobre 2021
Date de la dernière version	01 octobre 2021
Source(s)	Bulletin de sécurité Synology SA-21:24 du 29 septembre 2021 Bulletin de sécurité Synology SA-21:25 du 29 septembre 2021
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque(s)

Exécution de code arbitraire à distance
Déni de service à distance

Systèmes affectés

DSM versions antérieures à 7.0.1-42218
DSM UC
VS960HD
SRM version 1.2
VPN Plus Server versions antérieures à 1.4.2-0533
VPN Server

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Synology. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un déni de service à distance.

A la date de rédaction de l'avis, les vulnérabilités affectant le produit DiskStation Manager ne disposent pas encore d'un identifiant CVE.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Synology SA-21:24 du 29 septembre 2021
https://www.synology.com/fr-fr/security/advisory/Synology_SA_21_24
Bulletin de sécurité Synology SA-21:25 du 29 septembre 2021
https://www.synology.com/fr-fr/security/advisory/Synology_SA_21_25
Référence CVE CVE-2021-3711
https://www.cve.org/CVERecord?id=CVE-2021-3711
Référence CVE CVE-2021-3712
https://www.cve.org/CVERecord?id=CVE-2021-3712

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Synology