Comme nous l'indiquions hier, la faille Heartbleed d'OpenSSL pourrait avoir des conséquences assez graves sur la sécurité des sites web. Mais ces derniers ne sont pas les seuls concernés et tous les services utilisant OpenSSL sont autant de cibles potentielles. Certains services commencent ainsi à réagir et à communiquer.
Lundi, le NIST (National Institute of Standards and Technology) publiait un bulletin d'alerte concernant une faille touchant toutes les versions 1.0.1 d'OpenSSL, sauf la dernière 1.0.1g qui apporte un correctif. Comme nous l'avons détaillé ce matin, les conséquences peuvent être fâcheuses puisque cela touche de très nombreux sites, dont des banques et des systèmes de paiement en ligne. Mais ce problème ne se limite pas aux sites et de nombreux services sont aussi concernés, dès lors qu'ils exploitent OpenSSL. Ils doivent donc eux aussi être mis à jour.
Les NAS sont également touchés, la mise à jour du DSM 5.0 de Synology est en ligne
Du côté des NAS par exemple, plusieurs constructeurs nous ont confirmé être touchés par Heartbleed en précisant travailler sur un patch : c'est le cas d'Asustor et de Synology. Le premier se contente d'indiquer qu'il est en « train de résoudre le problème ». Nos confrères de Cachem ont pu avoir de plus amples précisions et nous indiquent que la faille ne serait finalement pas présente sur l'ADM 2.1 (qui exploite OpenSSL 1.0.0) et que la version 2.2 sortira avec OpenSSL 1.0.0g qui ne contient pas la faille Heartbleed.
De son côté, Synology nous annonce qu'il travaille sur une nouvelle version du DSM 5.0, qui est dès à présent en ligne. Vous pouvez l'installer directement depuis l'interface de votre NAS ou bien en téléchargeant le nouveau firmware DSM 5.0 4458 Update 2 par ici. Les clients ne disposant que du DSM 4.2 ou 4.3 ne sont pas laissés de côté et auront également droit à un patch, mais sans détails sur le calendrier. On notera que Synology joue décidément de malchance ces derniers temps, puisqu'il enchaîne les failles.
L'OS de Thecus n'est pas touché, ce qui n'est pas forcément le cas des modules
De son côté, Thecus nous indique qu'il n'est pas directement concerné par HeartBleed : « Nos systèmes ne sont pas impactés, notre OpenSSL est plus ancienne (1.0.0.e) ». Néanmoins, certains modules sont touchés par la faille HeartBleed et Stéphane Guérithault, ingénieur technique chez Thecus, nous précise qu'ils seront mis à jour très rapidement.
QNAP a finalement répondu à nos questions en indiquant que le firmware 4.0.7 pour les NAS haut de gamme des séries TS-x69, x70 et x79 sera publié dès ce soir. Du côté des modèles plus grand public comme les TS-x79 Pro et x69L des firmwares seront également disponibles ce soir, mais en bêta. Dans tous les cas, il faudra par contre passer par le forum du constructeur afin de les récupérer, les mises à jour en direct depuis les NAS ne seront mises en place qu'à partir de lundi.
Le protocole Bitcoin passe en version 0.9.1 pour corriger la faille
Le protocole Bitcoin exploitant lui aussi OpenSSL, il n'est pas épargné. Après une mise à jour 0.9.0 corrigeant des soucis du côté de la malléabilité des transactions, une nouvelle version 0.9.1 est disponible depuis hier. Bien évidemment, il est plus que recommandé de se mettre à jour. Notez que selon CoinDesk, la majorité des plateformes d'échanges sont à jour, mais la prudence doit toujours être de mise pour le moment.
Il faudra d'ailleurs vérifier ce qu'il en est pour les autres crypto-monnaies qui se basent le plus souvent sur Bitcoin et devront sans doute, elles aussi, êtres mises à jour. Dans tous les cas nous vous recommandons de télécharger la nouvelle version du client assez rapidement.
Commentaires (76)
#1
Est ce que l’état de “catastrophe humaine informatique” est reconnu par les assurances??? " />
Non parceque je suis sur qu’on va voir sortir des chiffres de dommage dans pas longtemps
#2
On nous refait le coup du bug de l’an 2000.
Avec une faille… qui n’a jamais été exploitée.
#3
#4
#5
Pour ce qui est des packages ipkg qui utilisent openssl sur Synology ca devrait être OK :
> which openssl
/opt/bin/openssl
> openssl version
OpenSSL 0.9.8v 19 Apr 2012
Par contre pour celui de base effectivement il est en 1.0.1f…
Alors qu’il se trimballait tranquillement son uptime d’environ 500 jours, mon syno n’aura jamais autant redémarré que ces dernières semaines…
#6
#7
Est-ce que openvpn peut être également touché?
#8
Pour l’instant, mon NAS est protégé par la box qui a planté et bloque tout accès au net.
Putain, vivement que je rentre chez moi pour rebooter cette merde !
#9
#10
Pour les entreprises qui utilisent Kerio Connect, une mise à jour est sortie " />
#11
Non seulement la faille est exploitable, mais son exploitation ne laisse pas de trace. Ne pas considérer qu’il y a urgence, comme le fait par exemple Darty parmi plus de 600K sites webs détectés comme toujours vulnérables, c’est de l’inconscience.
#12
Je viens d’apprendre par le service informatique de ma société que l’application servant à transférer du terrain vers le siège les données brutes de mécanique des sols pour calcul était affectée par cette faille.
L’entreprise qui a développé le logiciel sur mesure pour nous est en train de faire les derniers tests avec la nouvelle version d’OpenSSL pour validation. Nous aurons au plus tôt une mise à jour lundi qui vient.
Bon, ça va, je n’ai pas de données de mécanique des sols à transmettre au siège de là où je suis. Par contre, les collègues sur d’autres chantiers, ils vont devoir revoir leur planning…
#13
#14
#15
Ma copine utilise Aol mail qui est toujours vulnérable à l’heure actuelle. Toutefois, elle se connecte toujours via le même PC sans avoir besoin de remettre ses identifiants.
Est-elle tout de même concernée ?
#16
#17
#18
#19
#20
#21
Les NAS sont également touchés, les fabricants planchent sur une mise à jour
Moi je n’ai eu qu’une commande à taper pour mettre le mien à jour.
C’est tout l’avantage de construire son propre Nas et de l’équiper avec un Linux standard.
Et ce n’est ni compliqué, ni cher : Il n’y a que des avantages.
#22
#23
#24
Pour ceux qui ont un routeur Asus type N66/A66 -> pas de soucis, la version de OpenSSL utilisée est safe, y compris les build Merlin.
#25
#26
#27
#28
reçu la mise à jour Synology ce matin. Bonne nouvelle " />
(213J)
#29
#30
Sophos a déployé sa mise à jour hier en fin d’après-midi pour ses UTM. " />
#31
#32
#33
#34
La faille de marche pas sur mon nas Netgear Ultra " />
Faut dire qu’il tourne sur Debian Etch " />
#35
#36
#37
#38
Excusez mon ignorance, mais en quoi un routeur peut-il être impacté par cette faille openSSL.
Autant un site web (donc serveur associé), je vois comment. Mais pour le routeur je comprends moins le lien de cause à effet.
Quelqu’un pour m’éclairer ?
#39
#40
#41
Mes deux Syno (DSM5) ont reçu une mise à jour ce matin qui corrige ce bug
DSM 5.0-4458 update 2
#42
#43
#44
#45
#46
#47
#48
Idem pour moi, trop casse-noisette à maintenir en service mon NAS home-made, et surtout trop gourmand en énergie et en volume occupé, en plus d’être bruyant.
Depuis que j’ai acheté mes Syno je n’ai plus de place perdue, j’ai réduit de 20% ma facture EDF et le silence est de retour " />
#49
Personne sais quand Ubuntu va faire la mise à jour pour les LTS ? Je vais finir par le faire même si je ne vois rien arriver.
#50
muarf après l’update d’un DS112j, celui ci a perdu sa config… obligé de le réinstaller… me tate à faire la maj sur mon DS413 du coup…
#51
#52
#53
On dirait que la MAJ synology a été retirée, je ne la vois pas dans les fichiers dispos en téléchargement, alors que le changelog est là (et il me dit que l’update 1 est la dernière à jour quand je passe par l’interface)… Et des posts sur le forum suggèrent qu’ils étaient encore vulnérables après la MAJ (version f de openssl, la g corrige la faille il me semble) .. je table sur un fix du fix rapidement
edit: quoique “Ok i got the update (automatically now) , tested the exploit and it no longer exists.” mais bon, ça explique pas vraimenthttp://global.download.synology.com/download/DSM/5.0/4458/ qui affiche toujours des “vieux” fichiers
#54
#55
#56
Toujours pas de nouvelles de la MàJ des DSM 4.2 et 4.3 ?
#57
#58
#59
#60
#61
Maj sur le DS413 OK, DSM 5.0-4458 Update 2, faille bien corrigée.
#62
ok ici aussi, ils ont du étaler selon les modèles
#63
juste pour certitude, si le syno n’est pas ouvert sur l’extérieur, aucun risque ?
#64
#65
#66
en effet :) merci c est ce que je pensais mais bon..
#67
#68
#69
Mise à jour en cours sur un DS 412+ si ça intéresse quelqu’un.
Je ne l’ai pas eue plus tôt parce que ma box avait planté et que je viens à peine de rentrer de vacances.
#70
#71
#72
Mise à jour du fw des Netgear readynas OS6 aujourd’hui en version 6.1.7, parmi les changements le bouchage de la faille Heartbleed " />
source
#73
#74
#75
#76