Faille Ghost : les NAS QNAP ne sont pas épargnés, un correctif arrive

Le tunnel de l'angoisse 35
En bref
image dediée
Stockage
Sébastien Gavois

Suite à la mise en lumière de la faille Ghost de la bibliothèque glibc, nous avions contacté les principaux fabricants de NAS afin de savoir s'ils étaient ou non concernés. QNAP vient de nous répondre et nous confirme que « toutes les versions du QTS sont vulnérables », mais en relativisant tout de même.

La faille Ghost concerne également les NAS

Il y a quelques jours, Qualys présentait une faille dans glibc permettant de prendre, à distance, le contrôle d'une machine. Présente depuis novembre 2000 dans la bibliothèque en question, elle a été corrigée en mai 2013, mais sans être identifiée comme étant une faille de sécurité. De fait, de nombreux systèmes n'ont pas été mis à jour à l'époque. Mais c'est désormais le cas, notamment pour Ubuntu, Debian et Redhat.

Comme dans le cas de Heartbleed, les distributions Linux ne sont pas les seules à être concernées et les NAS sont également touchés. Nous avons donc demandé aux principaux fabricants ce qu'il en est pour eux. QNAP est le premier d'entre eux à nous répondre.

Toutes les versions du QTS sont vulnérables, mais seulement deux services sont touchés

Le constructeur nous indique ainsi que « les versions de glibc mises en ligne entre 10 novembre 2000 et 21 mai 2013 sont vulnérables, ce qui signifie que toutes les versions du QTS [NDLR : l'interface d'administration des NAS QNAP] sont vulnérables ». « Néanmoins, il n'est pas facile d'exploiter cette faille en raison des contraintes liées à cette vulnérabilité » ajoute le fabricant, mais sans donner plus de détail sur les « contraintes ».

Il nous précise par contre que « la plupart des applications sont sûres » et que « concernant le QTS, les applications suivantes sont sans danger : Web server, NFS Service, LDAP Server, SSH, FTP Service, Syslog Server, Microsoft Networking Service (CIFS), Ngix et Node.js ».

Néanmoins deux services sont vulnérables à Ghost : le serveur ainsi que le client VPN. Afin de minimiser les risques, QNAP recommande donc à ses clients de ne pas utiliser ces deux applications en attendant qu'un correctif soit mis en ligne. Aucun calendrier de déploiement n'a été dévoilé.


chargement
Chargement des commentaires...