Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

[MàJ] Heartbleed : QNAP publie la mise à jour pour ses NAS

Je vais bien, tout va bien...
Mise à jour :

QNAP vient d'annoncer la mise à jour de ses NAS vulnérables à Heartbleed, soit ceux sous QTS versions 4.0 et 4.1. « Les utilisateurs sont également invités à contacter leurs fournisseurs SSL pour régénérer leurs CSR/clés SSL pour la protection serveur »  précise la marque. Pour obtenir les mises à jour (QTS 4.0.7 et QTS 4.1.0 RC2) il faut utiliser la fonctionnalité de l'interface ou adapter le lien suivant à votre version.

Comme nous l'indiquions hier, la faille Heartbleed d'OpenSSL pourrait avoir des conséquences assez graves sur la sécurité des sites web. Mais ces derniers ne sont pas les seuls concernés et tous les services utilisant OpenSSL sont autant de cibles potentielles. Certains services commencent ainsi à réagir et à communiquer.

DSM 5.0

 

Lundi, le NIST (National Institute of Standards and Technology) publiait un bulletin d'alerte concernant une faille touchant toutes les versions 1.0.1 d'OpenSSL, sauf la dernière 1.0.1g qui apporte un correctif. Comme nous l'avons détaillé ce matin, les conséquences peuvent être fâcheuses puisque cela touche de très nombreux sites, dont des banques et des systèmes de paiement en ligne. Mais ce problème ne se limite pas aux sites et de nombreux services sont aussi concernés, dès lors qu'ils exploitent OpenSSL. Ils doivent donc eux aussi être mis à jour.

Les NAS sont également touchés, la mise à jour du DSM 5.0 de Synology est en ligne

Du côté des NAS par exemple, plusieurs constructeurs nous ont confirmé être touchés par Heartbleed en précisant travailler sur un patch : c'est le cas d'Asustor et de Synology. Le premier se contente d'indiquer qu'il est en « train de résoudre le problème ». Nos confrères de Cachem ont pu avoir de plus amples précisions et nous indiquent que la faille ne serait finalement pas présente sur l'ADM 2.1 (qui exploite OpenSSL 1.0.0) et que la version 2.2 sortira avec OpenSSL 1.0.0g qui ne contient pas la faille Heartbleed.

 

De son côté, Synology nous annonce qu'il travaille sur une nouvelle version du DSM 5.0, qui est dès à présent en ligne. Vous pouvez l'installer directement depuis l'interface de votre NAS ou bien en téléchargeant le nouveau firmware DSM 5.0 4458 Update 2 par ici. Les clients ne disposant que du DSM 4.2 ou 4.3 ne sont pas laissés de côté et auront également droit à un patch, mais sans détails sur le calendrier. On notera que Synology joue décidément de malchance ces derniers temps, puisqu'il enchaîne les failles.

L'OS de Thecus n'est pas touché, ce qui n'est pas forcément le cas des modules

De son côté, Thecus nous indique qu'il n'est pas directement concerné par HeartBleed : « Nos systèmes ne sont pas impactés, notre OpenSSL est plus ancienne (1.0.0.e) ». Néanmoins, certains modules sont touchés par la faille HeartBleed et Stéphane Guérithault, ingénieur technique chez Thecus, nous précise qu'ils seront mis à jour très rapidement.

 

QNAP a finalement répondu à nos questions en indiquant que le firmware 4.0.7 pour les NAS haut de gamme des séries TS-x69, x70 et x79 sera publié dès ce soir. Du côté des modèles plus grand public comme les TS-x79 Pro et x69L des firmwares seront également disponibles ce soir, mais en bêta. Dans tous les cas, il faudra par contre passer par le forum du constructeur afin de les récupérer, les mises à jour en direct depuis les NAS ne seront mises en place qu'à partir de lundi.

Le protocole Bitcoin passe en version 0.9.1 pour corriger la faille 

Le protocole Bitcoin exploitant lui aussi OpenSSL, il n'est pas épargné. Après une mise à jour 0.9.0 corrigeant des soucis du côté de la malléabilité des transactions, une nouvelle version 0.9.1 est disponible depuis hier. Bien évidemment, il est plus que recommandé de se mettre à jour. Notez que selon CoinDesk, la majorité des plateformes d'échanges sont à jour, mais la prudence doit toujours être de mise pour le moment.

 

Il faudra d'ailleurs vérifier ce qu'il en est pour les autres crypto-monnaies qui se basent le plus souvent sur Bitcoin et devront sans doute, elles aussi, êtres mises à jour. Dans tous les cas nous vous recommandons de télécharger la nouvelle version du client assez rapidement.

76 commentaires
Avatar de Optrolight Abonné
Avatar de OptrolightOptrolight- 09/04/14 à 16:30:51

Est ce que l'état de "catastrophe humaine informatique" est reconnu par les assurances??? :D

Non parceque je suis sur qu'on va voir sortir des chiffres de dommage dans pas longtemps

Avatar de null INpactien
Avatar de null- 09/04/14 à 16:35:48

On nous refait le coup du bug de l'an 2000.
Avec une faille... qui n'a jamais été exploitée.

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 09/04/14 à 17:02:41

Optrolight a écrit :

Est ce que l'état de "catastrophe humaine informatique" est reconnu par les assurances??? :D

Non parceque je suis sur qu'on va voir sortir des chiffres de dommage dans pas longtemps

Quand on vous dit que l'open-source, ca a un coût ! :D

Avatar de darkigo Abonné
Avatar de darkigodarkigo- 09/04/14 à 17:10:18

Yzokras a écrit :

On nous refait le coup du bug de l'an 2000.
Avec une faille... qui n'a jamais été exploitée.

C'est pas parce qu'on ne le sait pas que ce n'est pas le cas !

Avatar de m1k4 Abonné
Avatar de m1k4m1k4- 09/04/14 à 17:35:04

Pour ce qui est des packages ipkg qui utilisent openssl sur Synology ca devrait être OK :

> which openssl
/opt/bin/openssl
> openssl version
OpenSSL 0.9.8v 19 Apr 2012

Par contre pour celui de base effectivement il est en 1.0.1f...

Alors qu'il se trimballait tranquillement son uptime d'environ 500 jours, mon syno n'aura jamais autant redémarré que ces dernières semaines...

Avatar de sylvere Abonné
Avatar de sylveresylvere- 09/04/14 à 18:04:22

Yzokras a écrit :

On nous refait le coup du bug de l'an 2000.
Avec une faille... qui n'a jamais été exploitée.

c'est un bon exercice d'entrainement, et une piqûre de rappel pour les gens concernés (administrateurs, fabriquant).
Car on n'est pas à l'abris un jour de la découverte d'une vraie faille facilement exploitable, ce jour là il faudra réagir vite !

Édité par sylvere le 09/04/2014 à 18:04
Avatar de chien Abonné
Avatar de chienchien- 09/04/14 à 18:23:44

Est-ce que openvpn peut être également touché?

Avatar de Commentaire_supprime Abonné
Avatar de Commentaire_supprimeCommentaire_supprime- 09/04/14 à 18:29:00

Pour l'instant, mon NAS est protégé par la box qui a planté et bloque tout accès au net.

Putain, vivement que je rentre chez moi pour rebooter cette merde !

Avatar de ben5757 Abonné
Avatar de ben5757ben5757- 09/04/14 à 18:29:09

Yzokras a écrit :

On nous refait le coup du bug de l'an 2000.
Avec une faille... qui n'a jamais été exploitée.

sylvere a écrit :

c'est un bon exercice d'entrainement, et une piqûre de rappel pour les gens concernés (administrateurs, fabriquant).
Car on n'est pas à l'abris un jour de la découverte d'une vraie faille facilement exploitable, ce jour là il faudra réagir vite !

Vous ne la trouvez pas suffisament facilement exploitable ? Il y'a qu'a voir les screenshots du service d'authentification de chez yahoo pour se rendre compte du soucis. Il vous faut quoi ?

J'ai essayé sur mon syno et effectivement j'ai de l'info. PAs eu de mot de passe ou de session mais j'ai eu une liste des fichiers que j'ai manipuler la veille

Avatar de CryoGen Abonné
Avatar de CryoGenCryoGen- 09/04/14 à 18:36:54

Pour les entreprises qui utilisent Kerio Connect, une mise à jour est sortie :chinois:

Il n'est plus possible de commenter cette actualité.
Page 1 / 8
  • Introduction
  • Les NAS sont également touchés, la mise à jour du DSM 5.0 de Synology est en ligne
  • L'OS de Thecus n'est pas touché, ce qui n'est pas forcément le cas des modules
  • Le protocole Bitcoin passe en version 0.9.1 pour corriger la faille 
S'abonner à partir de 3,75 €