[MàJ] Faille Ghost : Synology met en ligne le correctif pour le DSM 5.1

Faille Ghost : les NAS Ve-Hotech, QNAP et Synology sont touchés

Il y a un peu moins d'une semaine, une importante faille de sécurité était débusquée dans certaines versions de la bibliothèque glibc : Ghost. Corrigée depuis 2013 avec la mise en ligne de la version 2.18, elle n'avait par contre pas été identifiée comme une mise à jour de sécurité et de nombreux systèmes sont donc restés sur des moutures plus anciennes.

Si de nombreuses distributions Linux ont été touchées mais rapidement corrigées, cela comprenait aussi les NAS, dont ceux de Ve-Hotech qui était le premier à réagir en publiant un correctif le soir même. Vendredi, QNAP nous confirmait que toutes les versions de son interface d'administration QTS étaient vulnérables, mais que deux services seulement étaient concernés : le client et le serveur VPN. Il est donc recommandé de ne pas les utiliser en attendant une prochaine mise à jour.

Synology : des correctifs pour le DSM et les applications arrivent

Si Synology ne nous avait pas répondu dans un premier temps, le fabricant vient de nous confirmer à son tour que son Disk Station Manager (DSM) est concerné par la faille Ghost. Il minimise par contre sa portée, sans pour autant nous donner plus de détails : « notre enquête préliminaire montre que les fonctions liées à Ghost sont implémentées dans plusieurs services du DSM. Toutefois, en raison de la conception même du DSM, l'impact de cette vulnérabilité est minime ». 

On ne sait pas non plus quelles sont les versions du DSM concernées ou quels services sont touchés, ce que regretteront surement certains. On nous confirme par contre bien qu'  « une mise à jour du DSM et des applications concernés par cette faille sera publiée dans la semaine ». Pour le moment, la dernière mouture du DSM (5.1-5022 Update 1) date du 22 janvier dernier et concernait principalement OpenSSL.