Objet: Multiples vulnérabilités dans les produits Synology

Risques

• Atteinte à l'intégrité des données
• Atteinte à la confidentialité des données
• Déni de service à distance
• Exécution de code arbitraire à distance
• Injection de code indirecte à distance (XSS)
• Élévation de privilèges

Systèmes affectés

• BeeDrive for desktop versions antérieures à 1.3.2-13814
• BeeFiles pour BeeStation OS versions 1.0.x antérieures à 1.0.2-10429
• BeeFiles pour BeeStation OS versions 1.1.x antérieures à 1.1.0-10555
• DSM versions 7.1 antérieures à 7.1.1-42962-7
• DSM versions 7.2.1.x antérieures à 7.2.1-69057-6
• DSM versions 7.2.2.x antérieures à 7.2.2-72806-1
• DSMUC versions 3.1.x antérieures à 3.1.4-23079
• Surveillance Station pour DSM 6.2 versions antérieures à 9.2.2-9575
• Surveillance Station pour DSM 7.1 versions antérieures à 9.2.2-11575
• Surveillance Station pour DSM 7.2 versions antérieures à 9.2.2-11575

L'éditeur indique que les mises à jour pour DSM 7.2.1, DSM 7.1 et DSMUC 3.1, corrigeant les vulnérabilités rendues publiques au PWN2OWN 2024, seront disponibles d'ici trente jours.

Documentation

• Bulletin de sécurité Synology Synology_SA_24_15 du 26 novembre 2024
https://www.synology.com/fr-fr/security/advisory/Synology_SA_24_15
• Bulletin de sécurité Synology Synology_SA_24_20 du 26 novembre 2024
https://www.synology.com/fr-fr/security/advisory/Synology_SA_24_20
• Bulletin de sécurité Synology Synology_SA_24_25 du 26 novembre 2024
https://www.synology.com/fr-fr/security/advisory/Synology_SA_24_25
• Bulletin de sécurité Synology Synology_SA_24_26 du 26 novembre 2024
https://www.synology.com/fr-fr/security/advisory/Synology_SA_24_26
• Bulletin de sécurité Synology Synology_SA_24_27 du 27 novembre 2024
https://www.synology.com/fr-fr/security/advisory/Synology_SA_24_27