[MàJ] Faille Ghost : Synology met en ligne le correctif pour le DSM 5.1

Chacun son tour...
[MàJ] Faille Ghost : Synology met en ligne le correctif pour le DSM 5.1

Après QNAP, c'est au tour de Synology de répondre à nos questions concernant la faille Ghost qui touche certaines versions de la bibliothèque glibc. Et si le fabricant indique que « l'impact de cette vulnérabilité est minime », il prépare un correctif pour son Disk Station Manager (DSM).

Faille Ghost : les NAS Ve-Hotech, QNAP et Synology sont touchés

Il y a un peu moins d'une semaine, une importante faille de sécurité était débusquée dans certaines versions de la bibliothèque glibc : Ghost. Corrigée depuis 2013 avec la mise en ligne de la version 2.18, elle n'avait par contre pas été identifiée comme une mise à jour de sécurité et de nombreux systèmes sont donc restés sur des moutures plus anciennes.

Si de nombreuses distributions Linux ont été touchées mais rapidement corrigées, cela comprenait aussi les NAS, dont ceux de Ve-Hotech qui était le premier à réagir en publiant un correctif le soir même. Vendredi, QNAP nous confirmait que toutes les versions de son interface d'administration QTS étaient vulnérables, mais que deux services seulement étaient concernés : le client et le serveur VPN. Il est donc recommandé de ne pas les utiliser en attendant une prochaine mise à jour.

Synology : des correctifs pour le DSM et les applications arrivent

Si Synology ne nous avait pas répondu dans un premier temps, le fabricant vient de nous confirmer à son tour que son Disk Station Manager (DSM) est concerné par la faille Ghost. Il minimise par contre sa portée, sans pour autant nous donner plus de détails : « notre enquête préliminaire montre que les fonctions liées à Ghost sont implémentées dans plusieurs services du DSM. Toutefois, en raison de la conception même du DSM, l'impact de cette vulnérabilité est minime ». 

On ne sait pas non plus quelles sont les versions du DSM concernées ou quels services sont touchés, ce que regretteront surement certains. On nous confirme par contre bien qu'  « une mise à jour du DSM et des applications concernés par cette faille sera publiée dans la semaine ». Pour le moment, la dernière mouture du DSM (5.1-5022 Update 1) date du 22 janvier dernier et concernait principalement OpenSSL.

Ce contenu est désormais en accès libre

Il a été produit grâce à nos abonnés, l'abonnement finance le travail de notre équipe de journalistes.

ou choisissez l'une de nos offres d'abonnement :

28 commentaires
Avatar de UpByvM_jEBXe3b Abonné
Avatar de UpByvM_jEBXe3bUpByvM_jEBXe3b- 02/02/15 à 16:04:42

Synology nous a habitué à mieux. C'est un peu long en temps de réactivité et court en description...

Avatar de ZcommeDodo INpactien
Avatar de ZcommeDodoZcommeDodo- 02/02/15 à 16:11:37


 et bien poilu, çui-là !

Avatar de piwi82 INpactien
Avatar de piwi82piwi82- 02/02/15 à 16:34:40

Surtout qu'à une époque encore peu lointaine, Synology ne fournissait aucun correctif de sécurité.
Ces derniers étaient intégrés aux mises à jour de DSM (tous les 6 mois donc).
Bref, tellement poilu que ça pourrait faire décéder Demis Roussos une deuxième fois ! 

Avatar de Glyphe INpactien
Avatar de GlypheGlyphe- 02/02/15 à 16:38:13

Même s'il a tort sur le côté "historique" de la chose, il n'en reste pas moins que même si DSM est proprio et fermé, la manque de communication RAPIDE de Synology sur la question ne me semble pas non plus très judicieuse sur des sujets de sécurité.

Avatar de Commentaire_supprime Abonné
Avatar de Commentaire_supprimeCommentaire_supprime- 02/02/15 à 16:57:21

Ouille, va falloir que je fasse gaffe au mien !

En tout cas, c'est un peut ballot de ne pas prévenir plus vite. Mais peut-être qu'ils ont fait des tests avant pour voir si ça valait la peine d'affoler leurs clients ou pas...

Avatar de timhor INpactien
Avatar de timhortimhor- 02/02/15 à 16:57:28

comme ca maintenant si yavait des doutes, on en a plus... faisandez nous hacker

Avatar de Wizaord INpactien
Avatar de WizaordWizaord- 02/02/15 à 17:39:04

Je trouve ca assez logique de ne pas diffuser d'informations avant d'avoir le correctif. C'est comme laisser sa porte ouverte et indiquer aux voleurs son adresse avant de l'avoir fermer...

Avatar de Jarodd Abonné
Avatar de JaroddJarodd- 02/02/15 à 19:16:52

Je n'ai pas encore fait la dernière màj de sécurité sur le mien, finalement j'ai bien fait d'attendre

Avatar de Drepanocytose Abonné
Avatar de DrepanocytoseDrepanocytose- 02/02/15 à 21:09:09

Question bête : les MAJ se font automatiquement sur un Syno ?
Si non, c'est ballot...

Avatar de Mihashi Abonné
Avatar de MihashiMihashi- 02/02/15 à 21:50:11

T'as le choix.

Perso, j'ai choisi la troisième avec avertissement par SMS.

Il n'est plus possible de commenter cette actualité.
Page 1 / 3

2000 - 2019 INpact MediaGroup - SARL de presse, membre du SPIIL. N° de CPPAP 0321 Z 92244.

Marque déposée. Tous droits réservés. Mentions légales et contact