章
目
录
近期,网络安全领域发现Synology Mail Server存在一个不容忽视的安全漏洞。这个漏洞的危害不容小觑,它能让已通过身份验证的远程攻击者对系统配置进行读取和写入操作,还能禁用部分非关键功能。该漏洞被标记为CVE – 2025 – 2848,影响了这款广受欢迎的邮件服务器软件的多个版本。
一、漏洞的严重程度与评分
Synology为这个漏洞给出的通用漏洞评分系统(CVSS)基础评分为6.3,评分向量是CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L。可能有人不太理解这个评分向量,简单来说,这表明该漏洞属于中度严重级别,它会在一定程度上影响数据的保密性、完整性和可用性。也就是说,存在这个漏洞的系统,数据可能有被泄露、被修改的风险,系统的正常使用也可能受到干扰。
二、漏洞发现者与披露情况
这个漏洞是由安全研究人员Chanin Kim发现的。Chanin Kim按照Synology公司的负责任披露计划,及时将漏洞报告给了Synology公司。在广泛应用补丁之前,关于这个漏洞的完整技术细节处于保密状态。一般来说,这类漏洞大多是因为访问控制机制出了问题,导致系统没办法正确限制已通过身份验证的用户,让他们能访问或修改超出自己权限的配置设置。
三、受影响产品及修复措施
(一)受影响产品版本
该漏洞影响的产品版本如下:
- 适用于DSM 7.2的Synology Mail Server,在1.7.6 – 20676或更高版本中已修复;
- 适用于DSM 7.1的Synology Mail Server,在1.7.6 – 10676或更高版本中已修复。
(二)修复建议
鉴于目前的情况,强烈建议用户尽快更新邮件服务器的安装版本。因为除了更新软件,暂时还没有其他有效的缓解策略,软件更新成了防范潜在漏洞利用的唯一可靠方法。
四、历史安全问题回顾
在网络附加存储(NAS)设备及相关服务备受网络安全关注的大背景下,Synology Mail Server出现的这个漏洞并非个例。2024年,Synology就处理过其产品线中的13个安全漏洞。今年早些时候,Synology还修复了SRM(Synology Router Manager)软件中的多个漏洞,那些漏洞会让已通过身份验证的用户读取或写入非敏感文件。不过,从以往的情况来看,Synology公司在处理安全漏洞方面一直都比较积极主动。
五、用户应对建议
为了保障系统安全,Synology产品的用户可以采取以下措施:
- 及时更新版本:马上更新到安全公告中指定的已修复版本,这是最直接有效的防范手段。
- 实施访问限制:考虑设置地理限制等额外安全措施,把访问权限限制在授权区域内,减少外部攻击的风险。
- 启用双因素认证:为所有管理员账户开启双因素身份验证,增加账户登录的安全性,防止他人轻易盗用账户。
- 配置安全通知:设置自动安全通知功能,这样就能及时知晓登录失败的尝试或者异常活动,以便尽早发现问题并采取措施。
另外,Synology遵循负责任的披露原则,在修复方案还没准备好之前,不会公开宣布安全漏洞。对于管理员来说,在将已修复版本部署到关键系统之前,最好先在非生产环境中进行测试,确保更新不会对系统造成其他不良影响。
