Faille Ghost : Synology met en ligne le correctif pour le DSM 5.1

Chacun son tour... 28
En bref
image dediée
Stockage MàJ
Sébastien Gavois

Mise à jour : Synology n'aura pas attendu longtemps avant de mettre en ligne son DSM 5.1-5022 Update-2 qui corrige la faille Ghost de la bibliothèque glibc. Le détail des services compris n'est par contre toujours pas précisé. Quoi qu'il en soit, il est également question de corrections de brèches avec le passage au PHP 5.5.21 (CVE-2015-0231, CVE-2014-9427 et CVE-2015-0232). Pour télécharger la nouvelle mouture du DSM 5.1 c'est par ici, ou bien directement depuis le DSM de votre NAS.

Après QNAP, c'est au tour de Synology de répondre à nos questions concernant la faille Ghost qui touche certaines versions de la bibliothèque glibc. Et si le fabricant indique que « l'impact de cette vulnérabilité est minime », il prépare un correctif pour son Disk Station Manager (DSM).

Faille Ghost : les NAS Ve-Hotech, QNAP et Synology sont touchés

Il y a un peu moins d'une semaine, une importante faille de sécurité était débusquée dans certaines versions de la bibliothèque glibc : Ghost. Corrigée depuis 2013 avec la mise en ligne de la version 2.18, elle n'avait par contre pas été identifiée comme une mise à jour de sécurité et de nombreux systèmes sont donc restés sur des moutures plus anciennes.

Si de nombreuses distributions Linux ont été touchées mais rapidement corrigées, cela comprenait aussi les NAS, dont ceux de Ve-Hotech qui était le premier à réagir en publiant un correctif le soir même. Vendredi, QNAP nous confirmait que toutes les versions de son interface d'administration QTS étaient vulnérables, mais que deux services seulement étaient concernés : le client et le serveur VPN. Il est donc recommandé de ne pas les utiliser en attendant une prochaine mise à jour.

Synology : des correctifs pour le DSM et les applications arrivent

Si Synology ne nous avait pas répondu dans un premier temps, le fabricant vient de nous confirmer à son tour que son Disk Station Manager (DSM) est concerné par la faille Ghost. Il minimise par contre sa portée, sans pour autant nous donner plus de détails : « notre enquête préliminaire montre que les fonctions liées à Ghost sont implémentées dans plusieurs services du DSM. Toutefois, en raison de la conception même du DSM, l'impact de cette vulnérabilité est minime ». 

On ne sait pas non plus quelles sont les versions du DSM concernées ou quels services sont touchés, ce que regretteront surement certains. On nous confirme par contre bien qu'  « une mise à jour du DSM et des applications concernés par cette faille sera publiée dans la semaine ». Pour le moment, la dernière mouture du DSM (5.1-5022 Update 1) date du 22 janvier dernier et concernait principalement OpenSSL.

Dernière mise à jour le 04/02/2015 15:37:28

chargement
Chargement des commentaires...