darvador2002
24/04/2014, 11h29
Heartbleed : QNAP publie la mise à jour pour ses NAS
Je vais bien, tout va bien...
Mise à jour : QNAP vient d'annoncer la mise à jour de ses NAS (http://www.prixdunet.com/boitier-externe/?1744=ethernet&order=rate_desc) vulnérables à Heartbleed, (http://www.pcinpact.com/news/87078-14h42-on-vous-explique-heartbleed-faille-securite-decennie.htm) soit ceux sous QTS versions 4.0 et 4.1. « Les utilisateurs sont également invités à contacter leurs fournisseurs SSL pour régénérer leurs CSR/clés SSL pour la protection serveur » précise la marque. Pour obtenir les mises à jour (QTS 4.0.7 et QTS 4.1.0 RC2) il faut utiliser la fonctionnalité de l'interface ou adapter le lien suivant à votre version (http://www.qnap.com/i/en/product_x_down/).
La faille Heartbleed d'OpenSSL pourrait avoir des conséquences assez graves sur la sécurité des sites web. Mais ces derniers ne sont pas les seuls concernés et tous les services utilisant OpenSSL sont autant de cibles potentielles. Certains services commencent ainsi à réagir et à communiquer.
http://static.pcinpact.com/images/bd/news/medium-144960.png (http://static.pcinpact.com/images/bd/news/144960.png)
Lundi, le NIST (National Institute of Standards and Technology) publiait un bulletin d'alerte concernant une faille (http://www.pcinpact.com/news/86934-openssl-faille-heartbleed-menace-securite-web-sites-ferment.htm) touchant toutes les versions 1.0.1 d'OpenSSL, sauf la dernière 1.0.1g qui apporte un correctif. Comme nous l'avons détaillé ce matin (http://www.pcinpact.com/news/86941-heartbleed-openssl-et-question-securite-expliques-simplement.htm), les conséquences peuvent être fâcheuses puisque cela touche de très nombreux sites, dont des banques et des systèmes de paiement en ligne. Mais ce problème ne se limite pas aux sites et de nombreux services sont aussi concernés, dès lors qu'ils exploitent OpenSSL. Ils doivent donc eux aussi être mis à jour.
Les NAS sont également touchés, la mise à jour du DSM 5.0 de Synology est en ligne
Du côté des NAS (http://www.prixdunet.com/boitier-externe/?1744=ethernet&order=rate_desc) par exemple, plusieurs constructeurs nous ont confirmé être touchés par Heartbleed (http://www.pcinpact.com/news/87078-14h42-on-vous-explique-heartbleed-faille-securite-decennie.htm) en précisant travailler sur un patch : c'est le cas d'Asustor et de Synology. Le premier se contente d'indiquer qu'il est en « train de résoudre le problème ». Nos confrères de Cachem (http://www.cachem.fr/openssl-faille-heartbleed-nas/) ont pu avoir de plus amples précisions et nous indiquent que la faille ne serait finalement pas présente sur l'ADM 2.1 (qui exploite OpenSSL 1.0.0) et que la version 2.2 (http://www.pcinpact.com/news/86384-adm-2-2-dasustor-nouvelles-applications-mobiles-et-interface-plus-rapide.htm) sortira avec OpenSSL 1.0.0g qui ne contient pas la faille Heartbleed (http://www.pcinpact.com/news/87078-14h42-on-vous-explique-heartbleed-faille-securite-decennie.htm).
De son côté, Synology nous annonce qu'il travaille sur une nouvelle version du DSM 5.0, qui est dès à présent en ligne. Vous pouvez l'installer directement depuis l'interface de votre NAS (http://www.prixdunet.com/boitier-externe/?1744=ethernet&order=rate_desc) ou bien en téléchargeant le nouveau firmware DSM 5.0 4458 Update 2 par ici (http://www.synology.com/fr-fr/support/download). Les clients ne disposant que du DSM 4.2 ou 4.3 ne sont pas laissés de côté et auront également droit à un patch, mais sans détails sur le calendrier. On notera que Synology joue décidément de malchance ces derniers temps, puisqu'il enchaîne les failles (http://www.pcinpact.com/recherche?_search=synology+faille).
L'OS de Thecus n'est pas touché, ce qui n'est pas forcément le cas des modules
De son côté, Thecus nous indique qu'il n'est pas directement concerné par HeartBleed : « Nos systèmes ne sont pas impactés, notre OpenSSL est plus ancienne (1.0.0.e) ». Néanmoins, certains modules sont touchés par la faille HeartBleed et Stéphane Guérithault, ingénieur technique chez Thecus, nous précise qu'ils seront mis à jour très rapidement.
QNAP a finalement répondu à nos questions en indiquant que le firmware 4.0.7 pour les NAS (http://www.prixdunet.com/boitier-externe/?1744=ethernet&order=rate_desc) haut de gamme des séries TS-x69, x70 et x79 sera publié dès ce soir. Du côté des modèles plus grand public comme les TS-x79 Pro et x69L des firmwares seront également disponibles ce soir, mais en bêta. Dans tous les cas, il faudra par contre passer par le forum du constructeur afin de les récupérer, les mises à jour en direct depuis les NAS (http://www.prixdunet.com/boitier-externe/?1744=ethernet&order=rate_desc) ne seront mises en place qu'à partir de lundi.
Le protocole Bitcoin passe en version 0.9.1 pour corriger la faille
Le protocole Bitcoin (http://www.pcinpact.com/recherche?_search=Bitcoin) exploitant lui aussi OpenSSL, il n'est pas épargné. Après une mise à jour 0.9.0 (http://www.pcinpact.com/news/86584-bitcoin-passe-en-version-0-9-0-et-sattaque-a-malleabilite-transactions.htm) corrigeant des soucis du côté de la malléabilité des transactions, une nouvelle version 0.9.1 est disponible (https://bitcoin.org/en/release/v0.9.1) depuis hier. Bien évidemment, il est plus que recommandé de se mettre à jour. Notez que selon CoinDesk (http://www.coindesk.com/bitcoin-core-version-0-9-1-fixes-heartbleed-vulnerability/), la majorité des plateformes d'échanges sont à jour, mais la prudence doit toujours être de mise pour le moment.
Il faudra d'ailleurs vérifier ce qu'il en est pour les autres crypto-monnaies (http://www.pcinpact.com/news/86572-14h42-et-si-on-decryptait-crypto-monnaies-bitcoin-altcoins-cie.htm) qui se basent le plus souvent sur Bitcoin (http://www.pcinpact.com/recherche?_search=Bitcoin) et devront sans doute, elles aussi, êtres mises à jour. Dans tous les cas nous vous recommandons de télécharger la nouvelle version du client assez rapidement.
Je vais bien, tout va bien...
Mise à jour : QNAP vient d'annoncer la mise à jour de ses NAS (http://www.prixdunet.com/boitier-externe/?1744=ethernet&order=rate_desc) vulnérables à Heartbleed, (http://www.pcinpact.com/news/87078-14h42-on-vous-explique-heartbleed-faille-securite-decennie.htm) soit ceux sous QTS versions 4.0 et 4.1. « Les utilisateurs sont également invités à contacter leurs fournisseurs SSL pour régénérer leurs CSR/clés SSL pour la protection serveur » précise la marque. Pour obtenir les mises à jour (QTS 4.0.7 et QTS 4.1.0 RC2) il faut utiliser la fonctionnalité de l'interface ou adapter le lien suivant à votre version (http://www.qnap.com/i/en/product_x_down/).
La faille Heartbleed d'OpenSSL pourrait avoir des conséquences assez graves sur la sécurité des sites web. Mais ces derniers ne sont pas les seuls concernés et tous les services utilisant OpenSSL sont autant de cibles potentielles. Certains services commencent ainsi à réagir et à communiquer.
http://static.pcinpact.com/images/bd/news/medium-144960.png (http://static.pcinpact.com/images/bd/news/144960.png)
Lundi, le NIST (National Institute of Standards and Technology) publiait un bulletin d'alerte concernant une faille (http://www.pcinpact.com/news/86934-openssl-faille-heartbleed-menace-securite-web-sites-ferment.htm) touchant toutes les versions 1.0.1 d'OpenSSL, sauf la dernière 1.0.1g qui apporte un correctif. Comme nous l'avons détaillé ce matin (http://www.pcinpact.com/news/86941-heartbleed-openssl-et-question-securite-expliques-simplement.htm), les conséquences peuvent être fâcheuses puisque cela touche de très nombreux sites, dont des banques et des systèmes de paiement en ligne. Mais ce problème ne se limite pas aux sites et de nombreux services sont aussi concernés, dès lors qu'ils exploitent OpenSSL. Ils doivent donc eux aussi être mis à jour.
Les NAS sont également touchés, la mise à jour du DSM 5.0 de Synology est en ligne
Du côté des NAS (http://www.prixdunet.com/boitier-externe/?1744=ethernet&order=rate_desc) par exemple, plusieurs constructeurs nous ont confirmé être touchés par Heartbleed (http://www.pcinpact.com/news/87078-14h42-on-vous-explique-heartbleed-faille-securite-decennie.htm) en précisant travailler sur un patch : c'est le cas d'Asustor et de Synology. Le premier se contente d'indiquer qu'il est en « train de résoudre le problème ». Nos confrères de Cachem (http://www.cachem.fr/openssl-faille-heartbleed-nas/) ont pu avoir de plus amples précisions et nous indiquent que la faille ne serait finalement pas présente sur l'ADM 2.1 (qui exploite OpenSSL 1.0.0) et que la version 2.2 (http://www.pcinpact.com/news/86384-adm-2-2-dasustor-nouvelles-applications-mobiles-et-interface-plus-rapide.htm) sortira avec OpenSSL 1.0.0g qui ne contient pas la faille Heartbleed (http://www.pcinpact.com/news/87078-14h42-on-vous-explique-heartbleed-faille-securite-decennie.htm).
De son côté, Synology nous annonce qu'il travaille sur une nouvelle version du DSM 5.0, qui est dès à présent en ligne. Vous pouvez l'installer directement depuis l'interface de votre NAS (http://www.prixdunet.com/boitier-externe/?1744=ethernet&order=rate_desc) ou bien en téléchargeant le nouveau firmware DSM 5.0 4458 Update 2 par ici (http://www.synology.com/fr-fr/support/download). Les clients ne disposant que du DSM 4.2 ou 4.3 ne sont pas laissés de côté et auront également droit à un patch, mais sans détails sur le calendrier. On notera que Synology joue décidément de malchance ces derniers temps, puisqu'il enchaîne les failles (http://www.pcinpact.com/recherche?_search=synology+faille).
L'OS de Thecus n'est pas touché, ce qui n'est pas forcément le cas des modules
De son côté, Thecus nous indique qu'il n'est pas directement concerné par HeartBleed : « Nos systèmes ne sont pas impactés, notre OpenSSL est plus ancienne (1.0.0.e) ». Néanmoins, certains modules sont touchés par la faille HeartBleed et Stéphane Guérithault, ingénieur technique chez Thecus, nous précise qu'ils seront mis à jour très rapidement.
QNAP a finalement répondu à nos questions en indiquant que le firmware 4.0.7 pour les NAS (http://www.prixdunet.com/boitier-externe/?1744=ethernet&order=rate_desc) haut de gamme des séries TS-x69, x70 et x79 sera publié dès ce soir. Du côté des modèles plus grand public comme les TS-x79 Pro et x69L des firmwares seront également disponibles ce soir, mais en bêta. Dans tous les cas, il faudra par contre passer par le forum du constructeur afin de les récupérer, les mises à jour en direct depuis les NAS (http://www.prixdunet.com/boitier-externe/?1744=ethernet&order=rate_desc) ne seront mises en place qu'à partir de lundi.
Le protocole Bitcoin passe en version 0.9.1 pour corriger la faille
Le protocole Bitcoin (http://www.pcinpact.com/recherche?_search=Bitcoin) exploitant lui aussi OpenSSL, il n'est pas épargné. Après une mise à jour 0.9.0 (http://www.pcinpact.com/news/86584-bitcoin-passe-en-version-0-9-0-et-sattaque-a-malleabilite-transactions.htm) corrigeant des soucis du côté de la malléabilité des transactions, une nouvelle version 0.9.1 est disponible (https://bitcoin.org/en/release/v0.9.1) depuis hier. Bien évidemment, il est plus que recommandé de se mettre à jour. Notez que selon CoinDesk (http://www.coindesk.com/bitcoin-core-version-0-9-1-fixes-heartbleed-vulnerability/), la majorité des plateformes d'échanges sont à jour, mais la prudence doit toujours être de mise pour le moment.
Il faudra d'ailleurs vérifier ce qu'il en est pour les autres crypto-monnaies (http://www.pcinpact.com/news/86572-14h42-et-si-on-decryptait-crypto-monnaies-bitcoin-altcoins-cie.htm) qui se basent le plus souvent sur Bitcoin (http://www.pcinpact.com/recherche?_search=Bitcoin) et devront sans doute, elles aussi, êtres mises à jour. Dans tous les cas nous vous recommandons de télécharger la nouvelle version du client assez rapidement.