En l'espace d'une semaine, Synology a mis en ligne deux nouvelles versions de son DSM 6.0.2 afin de combler des failles de sécurité. Dans les deux cas, il était notamment question de PHPMailer, mais pour deux brèches distinctes.

Il y a un peu plus de trois semaines, PHPMailer publiait une importante mise à jour de sécurité (estampillée 5.2.18). Pour rappel, il s'agit d'une bibliothèque PHP permettant d'envoyer des emails et qui est largement utilisée par différents services (WordPress, Drupal, Joomla, etc.), mais aussi par certains fabricants. C'est notamment le cas de Synology pour ses NAS.

PHPMailer : une mise à jour peut en cacher une autre

Comme souvent, le fabricant avait été prompt à réagir puisqu'un correctif a été mis en ligne le 11 janvier avec le DSM 6.0.2-8451-8. Dans le même temps, une brèche du noyau Linux était corrigée, ainsi qu'un problème qui faisait parfois redémarrer le serveur VPN de manière inattendue.

Hier, le fabricant a remis le couvert avec un nouveau correctif, estampillé 6.0.2-8451-9 cette fois-ci. Là encore, il est question de PHPMailer, mais avec une autre faille de sécurité identifiée par le bulletin de sécurité CVE-2017-5223. La bibliothèque PHP passe ainsi en version 5.2.22, une mouture mise en ligne il y a une dizaine de jours. Notez que les notes de versions indiquent qu'il faut également mettre à jour le module Photo Station en version 6.6.3 minimum, celui-ci utilisant aussi PHPMailer.

Comme toujours, diverses améliorations sont de la partie, comme une meilleure stabilité pour le système de fichier Btrfs après un arrêt inopiné, pour les services iSCSI ainsi que pour les connexions réseau via SMB. La mise à jour peut prendre quelques jours avant d'être disponible pour tout le monde et un redémarrage du NAS sera obligatoire.

Un déploiement rapide des correctifs appréciable

Quoi qu'il en soit, on ne peut qu'apprécier la rapidité de déploiement des mises à jour de Synology pour combler des brèches de sécurité, quitte à les multiplier au fil du temps. Un point sur lequel ses concurrents comme Asustor, QNAP et Thecus sont bien souvent en retrait.

Récemment, QNAP a été pointé du doigt par la société F-Secure pour une brèche de sécurité dans l'interface d'administration QTS qui aurait été signalée il y a un an et qui ne sera bouchée que dans quelques jours. Nous attendons toujours des explications de la part du constructeur sur ce point.