Après QNAP, c'est donc au tour de Synology de publier une mise à jour de son Disk Station Manager (alias DSM) et il est évidemment question de boucher la faille Shellshock. Mais, à l'instar d'Apple, cela ne concerne que les deux premières découvertes et pas les deux autres, plus récentes.
Depuis la semaine dernière, la brèche Shellshock du Bash secoue Internet. Il faut dire qu'elle est importante et qu'on la compare souvent à Heartbleed puisqu'on la retrouve sur un nombre très important de systèmes : Linux, OS X, Unix et leurs dérivés. Bien évidemment, un premier correctif a rapidement été mis en ligne... puis un second, suite à une nouvelle faille. Depuis, deux autres ont été identifiées et cela pourrait continuer maintenant que le service est passé au peigne fin par de nombreuses personnes.
Synology corrige les deux premières failles de Shellshock, mais pas les autres
Plusieurs sociétés ont évidemment publié des mises à jour. On retrouve ainsi Apple avec OS X Lion, Mountain Lion et Mavericks (pas Yosemite), suivi de près par QNAP. Mais dans les deux cas, cela ne concerne qu'une partie du problème, QNAP ne corrigeant par exemple que la toute première faille. À l'instar de la firme à la pomme, Synology propose désormais un correctif pour les deux premiers bulletins de sécurité estampillés CVE-2014-6271 et CVE-2014-7169. Pour les autres, il faudra donc certainement attendre une nouvelle mise à jour.
La bonne nouvelle, c'est que Synology reste fidèle à son habitude et propose une mise à jour de son DSM 4.3 et du DSM 5.0, laissant ainsi le choix à ses clients. De plus, le DSM 5.1 en version bêta a également le droit à son correctif dédié. Aucun autre changement n'est annoncé dans les notes de version.
Vous pouvez les installer directement depuis l'interface d'administration, ou les télécharger en suivant l'un des liens suivants : DSM 4.3 3827 Update 8, DSM 5.0 4493 Update 7 et DSM 5.1 4977 Update 1. Pour rappel, tous les NAS du taiwanais ne sont pas concernés (la liste complète se trouve par ici), et tous n'ont donc pas forcément une mise à jour qui les attend.
Thecus au courant, l'équipe R&D sur le brèche
De son côté, Thecus n'a toujours pas communiqué officiellement sur la question. Néanmoins, plusieurs clients ont remonté le problème à la société via ses forums et le responsable presse France indique que la balle est désormais dans le camp de l'équipe de recherche et développement. Une mise à jour devrait donc arriver prochainement.
Commentaires (34)
#1
Pas besoin de reboot pour une fois " />
#2
j’aime les 1511+ … concernés mais sans update " />
#3
Ce côté alarmiste m’éclate au plus haut point.
Parcque vous croyez qu’il y a un HeartBleed , un ShellShock ?
Et les 200 autres failles que vous ne connaissez pas encore, elles vous disent quoi ?
Allez … bon biz.
#4
Ca n’a pas l’air d’etre dispo pour tous les Syno visiblement…
Mon DS210j ne m’annonce pas de maj encore…
#5
J’ai eu l’update 7, no problem
#6
#7
….Tu es le NAS qui m´aille, je te le dis sans faille
Reste cool bébé, sinon j´te dirai : “Bye bye”. " />
#8
#9
#10
#11
Moi j’arrive déjà pas a y accéder avec les pass à mon NAS alors je crains rien :p
#12
#13
Pour compléter ce qui est dit dans l’article: QNAP, dont les NAS (Japon, Corée et US principalement) sont spécifiquement la cible d’attaquants via Shellshock http://www.fireeye.com/blog/technical/2014/10/the-shellshock-aftershock-for-nas-… ) a publié un nouveau fix :http://forum.qnap.com/viewtopic.php?f=73&t=98188 (notamment pour les CVE-2014-6271, CVE-2014-7169, CVE-2014-6277, CVE-2014-7186, et CVE-2014-7187).
#14
#15
#16
#17
#18
#19
#20
#21
#22
#23
#24
#25
#26
Petite question
Est-ce qu’on court un risque si le seul service ouvert est OpenVPN (avec certificat + auth) sur le NAS ? (pour ensuite accéder aux différents services du NAS)
Merci
#27
A noter que Freenas a déjà publié une mise à jour pour Shellshock. Comme quoi la réactivité de ces boites n’est pas folle.
#28
#29
#30
#31
#32
#33
#34