Faille Ghost : les NAS QNAP ne sont pas épargnés, un correctif arrive

Le tunnel de l'angoisse
Faille Ghost : les NAS QNAP ne sont pas épargnés, un correctif arrive

Suite à la mise en lumière de la faille Ghost de la bibliothèque glibc, nous avions contacté les principaux fabricants de NAS afin de savoir s'ils étaient ou non concernés. QNAP vient de nous répondre et nous confirme que « toutes les versions du QTS sont vulnérables », mais en relativisant tout de même.

La faille Ghost concerne également les NAS

Il y a quelques jours, Qualys présentait une faille dans glibc permettant de prendre, à distance, le contrôle d'une machine. Présente depuis novembre 2000 dans la bibliothèque en question, elle a été corrigée en mai 2013, mais sans être identifiée comme étant une faille de sécurité. De fait, de nombreux systèmes n'ont pas été mis à jour à l'époque. Mais c'est désormais le cas, notamment pour Ubuntu, Debian et Redhat.

Comme dans le cas de Heartbleed, les distributions Linux ne sont pas les seules à être concernées et les NAS sont également touchés. Nous avons donc demandé aux principaux fabricants ce qu'il en est pour eux. QNAP est le premier d'entre eux à nous répondre.

Toutes les versions du QTS sont vulnérables, mais seulement deux services sont touchés

Le constructeur nous indique ainsi que « les versions de glibc mises en ligne entre 10 novembre 2000 et 21 mai 2013 sont vulnérables, ce qui signifie que toutes les versions du QTS [NDLR : l'interface d'administration des NAS QNAP] sont vulnérables ». « Néanmoins, il n'est pas facile d'exploiter cette faille en raison des contraintes liées à cette vulnérabilité » ajoute le fabricant, mais sans donner plus de détail sur les « contraintes ».

Il nous précise par contre que « la plupart des applications sont sûres » et que « concernant le QTS, les applications suivantes sont sans danger : Web server, NFS Service, LDAP Server, SSH, FTP Service, Syslog Server, Microsoft Networking Service (CIFS), Ngix et Node.js ».

Néanmoins deux services sont vulnérables à Ghost : le serveur ainsi que le client VPN. Afin de minimiser les risques, QNAP recommande donc à ses clients de ne pas utiliser ces deux applications en attendant qu'un correctif soit mis en ligne. Aucun calendrier de déploiement n'a été dévoilé.

Ce contenu est désormais en accès libre

Il a été produit grâce à nos abonnés, l'abonnement finance le travail de notre équipe de journalistes.

ou choisissez l'une de nos offres d'abonnement :

35 commentaires
Avatar de Baku INpactien
Avatar de BakuBaku- 30/01/15 à 09:35:52

Chaque fois que "cryptage" est utilisé à la place de "chiffrement", un petit chaton affamé meurt en Afrique. Pensez à ces petits chatons et à l'Afrique.

Avatar de esver Abonné
Avatar de esveresver- 30/01/15 à 09:43:05

Baku a écrit :

Chaque fois que "cryptage" est utilisé à la place de "chiffrement", un petit chaton affamé meurt en Afrique. Pensez à ces petits chatons et à l'Afrique.

cryptage cryptage cryptage :-) Ceci est un message du CCC

Avatar de Commentaire_supprime Abonné
Avatar de Commentaire_supprimeCommentaire_supprime- 30/01/15 à 09:45:02

Baku a écrit :

Chaque fois que "cryptage" est utilisé à la place de "chiffrement", un petit chaton affamé meurt en Afrique. Pensez à ces petits chatons et à l'Afrique.

Et sinon, tu prends une chocolatine pour ton petit-déjeuner ? (64 INside)

Avatar de Baku INpactien
Avatar de BakuBaku- 30/01/15 à 09:46:29

Ouf j'ai eu peur, j'ai cru que c'était un message du KKK

Avatar de Ami-Kuns Abonné
Avatar de Ami-KunsAmi-Kuns- 30/01/15 à 09:55:46

Baku a écrit :

Ouf j'ai eu peur, j'ai cru que c'était un message du KKK

C'est le sigle de la section anglo-saxone. 😅

Avatar de WereWindle Abonné
Avatar de WereWindleWereWindle- 30/01/15 à 09:58:00

Ami-Kuns a écrit :

C'est le sigle de la section anglo-saxone. 😅

Kat Killers Komitay ?

Avatar de neointhematrix INpactien
Avatar de neointhematrixneointhematrix- 30/01/15 à 10:04:39

Tiens, faudra que je vérifie si mon Raspberry Pi est à jour ou s'il est impacté par cette faille...

Avatar de Obidoub INpactien
Avatar de ObidoubObidoub- 30/01/15 à 10:05:18

Pareil j'ai titlé sur "cryptage" 
C'est un abus de langage qu'on tolère sur le web, mais voir ça dans la brochure commerciale du fabricant c'est quand même un peu gênant...

Avatar de ZeHiro Abonné
Avatar de ZeHiroZeHiro- 30/01/15 à 10:08:23

Raspbian basé sur debian 7 est impactée. La MAJ est déja diffusée.

Avatar de Zerdligham Abonné
Avatar de ZerdlighamZerdligham- 30/01/15 à 10:09:25

Je comprends pas pourquoi le type s'énerve, on voit bien que c'est pas lui sur les photos, il n'y a pas de quoi en faire un tout un plat.

Il n'est plus possible de commenter cette actualité.
Page 1 / 4

2000 - 2019 INpact MediaGroup - SARL de presse, membre du SPIIL. N° de CPPAP 0321 Z 92244.

Marque déposée. Tous droits réservés. Mentions légales et contact