Faille Ghost : les NAS QNAP ne sont pas épargnés, un correctif arrive

La faille Ghost concerne également les NAS

Il y a quelques jours, Qualys présentait une faille dans glibc permettant de prendre, à distance, le contrôle d'une machine. Présente depuis novembre 2000 dans la bibliothèque en question, elle a été corrigée en mai 2013, mais sans être identifiée comme étant une faille de sécurité. De fait, de nombreux systèmes n'ont pas été mis à jour à l'époque. Mais c'est désormais le cas, notamment pour Ubuntu, Debian et Redhat.

Comme dans le cas de Heartbleed, les distributions Linux ne sont pas les seules à être concernées et les NAS sont également touchés. Nous avons donc demandé aux principaux fabricants ce qu'il en est pour eux. QNAP est le premier d'entre eux à nous répondre.

Toutes les versions du QTS sont vulnérables, mais seulement deux services sont touchés

Le constructeur nous indique ainsi que « les versions de glibc mises en ligne entre 10 novembre 2000 et 21 mai 2013 sont vulnérables, ce qui signifie que toutes les versions du QTS [NDLR : l'interface d'administration des NAS QNAP] sont vulnérables ». « Néanmoins, il n'est pas facile d'exploiter cette faille en raison des contraintes liées à cette vulnérabilité » ajoute le fabricant, mais sans donner plus de détail sur les « contraintes ».

Il nous précise par contre que « la plupart des applications sont sûres » et que « concernant le QTS, les applications suivantes sont sans danger : Web server, NFS Service, LDAP Server, SSH, FTP Service, Syslog Server, Microsoft Networking Service (CIFS), Ngix et Node.js ».

Néanmoins deux services sont vulnérables à Ghost : le serveur ainsi que le client VPN. Afin de minimiser les risques, QNAP recommande donc à ses clients de ne pas utiliser ces deux applications en attendant qu'un correctif soit mis en ligne. Aucun calendrier de déploiement n'a été dévoilé.