群晖近日向其NAS用户发送紧急安全邮件，敦促用户升级DSM系统以修复在Pwn2Own Ireland 2024黑客大会上曝光的远程代码执行漏洞。尽管群晖已开始修复并分阶段推送更新，但部分用户可能尚未收到更新提示。受影响的用户需手动下载并安装PAT格式的补丁包。此次更新涉及多个漏洞，包括ZDI-CAN-25403、ZDI-CAN-25613和ZDI-CAN-25617，影响DSM 7.2.2、7.2.1、7.1及DSMUC 3.1系列。用户可通过群晖DSM系统存档站点手动下载对应机型和版本的PAT文件进行更新，并需将所有套件升级至最新版。

🚨群晖发布紧急安全更新通知，起因是在10月底的Pwn2Own Ireland 2024黑客大会上，群晖NAS的DSM系统被曝出存在多个远程代码执行漏洞，需要尽快升级修复。

⚙️此次安全更新涉及多个DSM版本，包括DSM 7.2.2、7.2.1、7.1以及DSMUC 3.1系列，用户需要根据自己使用的版本升级到对应的安全版本，例如DSM 7.2.2系列需要升级到7.2.2-72806-1及以上版本。

📥由于更新是分阶段推送的，部分用户可能暂时无法通过系统自动检测到更新，需要手动下载PAT格式的补丁包进行升级。用户可以访问群晖DSM系统存档站点，选择对应机型和DSM版本的PAT文件进行下载安装。

⚠️手动下载的PAT补丁并非完整版系统，不支持跨版本升级，用户需要逐个安装对应版本的补丁。例如，从DSM 7.2.2-72803升级到7.2.2-72806-2，需要依次安装72806、72806-1、72806-2三个补丁。

🔄完成系统更新后，用户还需要前往套件中心，将所有需要更新的套件，如Synology Drive等，全部升级到最新版本，确保系统的整体安全性。

群晖于 12 月 7 日开始批量向 Synology NAS 用户发送安全邮件通知，提醒用户尽快升级到 DSM 最新版以解决潜在的远程代码执行漏洞。

这些漏洞从 10 月底的 Pwn2Own Ireland 2024 黑客大会中被爆出，随后群晖开始进行修复，截止至本文发布时群晖正在分阶段推送安全更新。

但需要强调的是因为分阶段推送因此当前用户检查更新可能提示已经是最新，但其实用户使用的还是受影响的版本，这个可能还需要再等几天后才能收到推送。

例如蓝点网使用的是 DSM 7.2.2-72803 版，根据群晖安全公告需要升级到 DSM 7.2.2-72806-1 才能修复漏洞，也就是当前我使用的版本其实是受漏洞影响的，但无法检测到更新，除非我手动下载 PAT 格式的补丁包手动升级。

下面是漏洞详情：

漏洞编号：ZDI-CAN-25403 借助该漏洞黑客可以远程执行任意代码

漏洞编号：ZDI-CAN-25613 借助该漏洞黑客可以远程读取特定文件

漏洞编号：ZDI-CAN-25617 借助该漏洞相邻的中间人攻击者可以写入特定文件

以下是修复的版本：

如果您使用 DSM 7.2.2 系列则至少需要更新到 DSM 7.2.2-72806-1 及后续版本 (截止至本文发布时最新版为 7.2.2-72806-2 版)

如果您使用 DSM 7.2.1 系列则至少需要更新到 DSM 7.2.1-69057-6 及后续版本 (截止至本文发布时此版本为最新版)

如果您使用 DSM 7.1 系列则至少需要升级到 DSM 7.1.1-42962-7 及后续版本 (截止至本文发布时此版本为最新版)

如果您使用 DSMUC 3.1 系列则至少需要升级到 DSMUC 3.1.4-23079 及后续版本

如果未检查到更新如何手动升级：

通过群晖 DSM 系统存档站点手动下载 PAT 文件：https://archive.synology.cn/download/Os/DSM

其中 – 1 这类版本号代表的是 Update 1，如果显示的是 Update 6 则代表是 – 6 版本，请核对你的机型和使用的 DSM 系列版本，例如我使用的是 DSM 7.2.2 系列则应该选择 7.2.2-72806-2 并对应我使用的机型。

下载错误版本和机型不对的版本都无法正常升级，下载 PAT 文件后转到群晖 DSM 控制面板、更新与安全、系统更新，手动选择对应机型的 PAT 文件即可安装。

还有个需要提醒的是手动下载的 PAT 补丁并非完整版系统，因此不支持跨版本升级，例如蓝点网目前是 DSM 7.2.2-72803，则先需要下载 72806 补丁安装升级、再下载 72806-1 补丁安装升级，最后下载 72806-2 补丁升级 (这个操作过程比较麻烦，你也可以等待群晖的推送自动更新)

最后，完成更新后请转到套件中心将所有需要更新的套件都升级到最新版，例如 Synology Drive 等。