Synology : des mises à jour du DSM 6.0.2 pour boucher des failles de PHPMailer

PHPFailer
Synology : des mises à jour du DSM 6.0.2 pour boucher des failles de PHPMailer

En l'espace d'une semaine, Synology a mis en ligne deux nouvelles versions de son DSM 6.0.2 afin de combler des failles de sécurité. Dans les deux cas, il était notamment question de PHPMailer, mais pour deux brèches distinctes. 

Il y a un peu plus de trois semaines, PHPMailer publiait une importante mise à jour de sécurité (estampillée 5.2.18). Pour rappel, il s'agit d'une bibliothèque PHP permettant d'envoyer des emails et qui est largement utilisée par différents services (WordPress, Drupal, Joomla, etc.), mais aussi par certains fabricants. C'est notamment le cas de Synology pour ses NAS.

PHPMailer : une mise à jour peut en cacher une autre

Comme souvent, le fabricant avait été prompt à réagir puisqu'un correctif a été mis en ligne le 11 janvier avec le DSM 6.0.2-8451-8. Dans le même temps, une brèche du noyau Linux était corrigée, ainsi qu'un problème qui faisait parfois redémarrer le serveur VPN de manière inattendue.

Hier, le fabricant a remis le couvert avec un nouveau correctif, estampillé 6.0.2-8451-9 cette fois-ci. Là encore, il est question de PHPMailer, mais avec une autre faille de sécurité identifiée par le bulletin de sécurité CVE-2017-5223. La bibliothèque PHP passe ainsi en version 5.2.22, une mouture mise en ligne il y a une dizaine de jours. Notez que les notes de versions indiquent qu'il faut également mettre à jour le module Photo Station en version 6.6.3 minimum, celui-ci utilisant aussi PHPMailer.

Comme toujours, diverses améliorations sont de la partie, comme une meilleure stabilité pour le système de fichier Btrfs après un arrêt inopiné, pour les services iSCSI ainsi que pour les connexions réseau via SMB. La mise à jour peut prendre quelques jours avant d'être disponible pour tout le monde et un redémarrage du NAS sera obligatoire.

Un déploiement rapide des correctifs appréciable

Quoi qu'il en soit, on ne peut qu'apprécier la rapidité de déploiement des mises à jour de Synology pour combler des brèches de sécurité, quitte à les multiplier au fil du temps. Un point sur lequel ses concurrents comme Asustor, QNAP et Thecus sont bien souvent en retrait.

Récemment, QNAP a été pointé du doigt par la société F-Secure pour une brèche de sécurité dans l'interface d'administration QTS qui aurait été signalée il y a un an et qui ne sera bouchée que dans quelques jours. Nous attendons toujours des explications de la part du constructeur sur ce point.

Ce contenu est désormais en accès libre

Il a été produit grâce à nos abonnés, l'abonnement finance le travail de notre équipe de journalistes.

ou choisissez l'une de nos offres d'abonnement :

22 commentaires
Avatar de anonyme_97254becd5c5b064755d6772703ed968 INpactien

Moi je vais pousser ma gueulante sur Synology : on doit redémarrer à chaque mise jour nos NAS (plus de 100) ! Alors c'était quoi cette promesse faites en 2015-2016 comme quoi DSM avait été revu ,modulaire etc ... permettant de limiter les redémarrages ... ce qui est, à l'usage, totalement faux ?

Moi j'aimerai une explication.

pas content.

Avatar de durthu Abonné
Avatar de durthudurthu- 19/01/17 à 15:52:24

Je suis très content du suivi de mon syno DS415+.
Le redémarrage ne me dérange pas car je suis un particulier et son utilisation n'est pas critique.
Je peux comprendre facilement le bordel que a doit être en entreprise.... Vous appliquez les mises à jours la nuit ?

Avatar de waazdakka Abonné
Avatar de waazdakkawaazdakka- 19/01/17 à 15:58:06

Surtout qu'en un mois, ça fait presque 7 updates. Ca commence à faire beaucoup, la réactivité c'est bien, éviter les reboots en permanence, c'est mieux, quand on a une obligation de service.
Sinon, pas la peine d'aller taper sur Windows et ses mises a jour à reboot obligatoire hein...

Avatar de ultrariri INpactien
Avatar de ultraririultrariri- 19/01/17 à 15:58:18

Les promesses n'engagent que ceux qui y croient ;)

Avatar de waazdakka Abonné
Avatar de waazdakkawaazdakka- 19/01/17 à 16:00:58

Particulier ou pro, autant de reboots ne sont pas vraiment acceptables compte tenu des promesses faites avec DSM6. Pour ma part, rien que l'indisponibilité du serveur mail les 5 minutes que durent l'install + reboot devrait être rationalisée aux versions majeures ! (Et les reboots, meme la nuit, c'est une interruption de service...)

Avatar de durthu Abonné
Avatar de durthudurthu- 19/01/17 à 16:10:12

C'est pour ça que j'ai précisé être un particulier. Je n'ai pas besoin d'une service utilisable 24/24h.
J'utilise essentiellement le serveur de fichier.

Avatar de anonyme_97254becd5c5b064755d6772703ed968 INpactien

Non , 12h - 14h00 mais avec CMS cela se fait en un coup pour tout le parc ! Mais on coupe les nas, le service le temps de la maj ...

Avatar de keralan Abonné
Avatar de keralankeralan- 19/01/17 à 16:18:42

Pas eu de reboot à l'update précédent il me semble.

Avatar de gaetan.cambier INpactien
Avatar de gaetan.cambiergaetan.cambier- 19/01/17 à 18:19:21

Il existe pourtant une solution simple si vous ne voulez pas avoir l'obligation de redémarrer le nas : vous n'installer pas la mise à jour ...
a vos risques et périls ...

Avatar de Habu Abonné
Avatar de HabuHabu- 19/01/17 à 18:23:11

Est ce que le downloadstation remarche avec les torrents ?

Il n'est plus possible de commenter cette actualité.
Page 1 / 3

Votre commentaire

Avatar de lecteur anonyme
Avatar de lecteur anonyme

2000 - 2019 INpact MediaGroup - SARL de presse, membre du SPIIL. N° de CPPAP 0321 Z 92244.

Marque déposée. Tous droits réservés. Mentions légales et contact