Synology vient de mettre en ligne une nouvelle version de son DSM 5.0 : le 4493 Update 1. Ce firmware est disponible pour tous les NAS à partir des DS-x10. Après l'épisode Heartbleed, il s'agit une nouvelle fois de corriger des failles récemment détectées dans OpenSSL.
Début avril, la faille Heartbleed d'OpenSSL secouait le web mondial. Il faut dire que le problème était d'envergure puisqu'il était alors très facilement possible d'accéder à des données confidentielles sur les serveurs touchés. Une nouvelle version d'OpenSSL 1.0.1g était mise en ligne afin de combler cette faille béante.
Après Heartbleed, six nouvelles failles pour OpenSSL, dont deux critiques
Il y a une semaine, OpenSSL refaisait parler de lui avec la mise en ligne de pas moins de six bulletins de sécurité, dont deux étant jugés comme critiques : les CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-0198, CVE-2010-5298 et CVE-2014-3470.
Dans le cas du CVE-2014-0224, des pirates pourraient utiliser une attaque du type « Man In The Middle » afin de récupérer les transactions effectuées entre un serveur et un utilisateur. De son côté, CVE-2014-0195 évoque la possibilité d'exécuter du code arbitraire, que ce soit côté serveur ou utilisateur. Concernant les autres bulletins, il est question d'attaque par déni de service (DoS), ce qui pourrait rapidement bloquer un site internet. Evernote et Feedly en ont récemment fait les frais par exemple.
OpenSSL se met à jour, Synology fait de même avec son DSM 5.0
Sont concernées les versions 0.9.8, 1.0.0, et 1.0.1 d'OpenSSL, y compris la 1.0.1g qui corrige Heartbleed. Bien évidemment, de nouvelles moutures ont été mises en ligne : les 0.9.8za, 1.0.0m et 1.0.1h respectivement. C'est justement cette dernière que Synology a utilisée pour mettre à jour son DSM 5.0. Les notes de versions n'indiquent d'ailleurs aucune autre modification.
Comme toujours dans ce genre de situation, il est recommandé de procéder à la mise à jour. Cela se passe directement depuis l'interface d'administration de votre NAS, ou bien en téléchargeant le fichier via ce lien, il suffit de sélectionner notre NAS dans les menus déroulants.
Le DSM 4.2, dernière mouture disponible pour les NAS DSx-09 par exemple, n'a pas encore été mise à jour, la dernière datant du 15 avril et corrigeait Heartbleed. Nous tâcherons de voir avec le constructeur si cela sera prochainement le cas, ou pas.