Synology vient de mettre en ligne une nouvelle version 3827 Update 3 de son DSM 4.3. Comme la précédente mise à jour, il s'agit de boucher les six nouvelles failles d'OpenSSL, mais aussi de corriger un souci du côté du pare-feu et d'améliorer la stabilité du DS214play. Du côté d'Asustor, QNAP et Thecus, c'est le silence radio pour le moment.
Il y a quelques jours, Synology déployait une mise à jour de son DSM 5.0 : la 4493 Update 1. Celle-ci était qualifiée d'importante par le constructeur puisqu'elle corrigeait six nouvelles failles OpenSSL, dont deux étaient jugées comme critiques. Cette fois-ci, c'est au tour du DSM 4.3.
Synology propose en effet une mise à jour du DSM 4.3 : la 3827 Update 3. Là encore, il est question de boucher les failles CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-0198, CVE-2010-5298 et CVE-2014-3470 d'OpenSSL, mais pas uniquement. En effet, le fabricant précise qu'il corrige également « un problème qui a provoqué l'inefficacité des règles du pare-feu DSM après la mise à jour du système », ce qui peut rapidement devenir problématique. De plus, le DS214play a droit à une attention toute particulière et le constructeur annonce une meilleure stabilité.
Synology permet donc à ceux qui ne souhaitent pas passer au DSM 5.0 de continuer à utiliser le DSM 4.3 dans de bonnes conditions, un point appréciable. On regrettera par contre que le DSM 4.2 ne soit pas (encore ?) mis à jour. Pour rappel, seuls les NAS de la série DS-x10 ou plus récents peuvent profiter du DSM 5.0, les NAS DS-x09 sont par exemple limités au DSM 4.2, mais ils avaient tout de même eu droit à une version 4.2-3428 dédiée à Heartbleed.
Du côté des autres fabricants de NAS, aucune mise à jour ne semble disponible pour le moment. Si les six nouvelles failles d'OpenSSL ne sont pas aussi importantes que Heartbleed, elles n'en restent pas moins critiques pour deux d'entre elles et touchent les versions 0.9.8, 1.0.0 et 1.0.1 d'OpenSSL. Des corrections ont été apportées dans les moutures 0.9.8za, 1.0.0m et 1.0.1h respectivement. Pour rappel, Asustor exploite OpenSSL 1.0.0 dans son ADM 2.1, tout comme l'ADM 2.2 bêta. La situation est identique chez Thecus, ainsi que pour le QTS 4.0 de QNAP. La version intégrée dans le QTS 4.1 n'est pas précisée.
Commentaires (12)
#1
Les pubs pour QNAP et Thecus à droite de la news sont risibles
" />
#2
Des p’tits trous, des p’tits trous, toujours des p’tits trous…
Pauvre OpenSSL.
#3
#4
#5
Mais quel est le risque exactement … ? Surtout si on utilise pas de SSL sur son NAS… ? (c’est une question, pas taper !)
#6
#7
N’empêche Synology poutre pour le suivi de ses firmwares.
#8
#9
#10
Et chez les autres fabricants de NAS ?
Trois solutions :
Soit la faille était présente et a été corrigée.
Soit la faille est présente et non corrigée.
Soit la faille n’est pas présente, donc elle ne peut pas être corrigée.
#11
#12
Pour ce qui est de Thecus. la faille est corrigé avec les derniers firmware, avis à tous les médisant…
" />