darvador2002
12/06/2014, 10h07
Synology : mise à jour du DSM 5.0 pour corriger six nouvelles failles OpenSSL Bouche-trou, le nouveau jeu à la mode sur internet Synology vient de mettre en ligne une nouvelle version de son DSM 5.0 : le 4493 Update 1. Ce firmware est disponible pour tous les NAS à partir des DS-x10. Après l'épisode Heartbleed, il s'agit une nouvelle fois de corriger des failles récemment détectées dans OpenSSL.
http://static.pcinpact.com/images/bd/news/medium-145790.png (http://static.pcinpact.com/images/bd/news/145790.png)
Début avril (http://www.nextinpact.com/news/86934-openssl-faille-heartbleed-menace-securite-web-sites-ferment.htm), la faille Heartbleed (http://www.pcinpact.com/news/87078-14h42-on-vous-explique-heartbleed-faille-securite-decennie.htm) d'OpenSSL secouait le web mondial. Il faut dire que le problème était d'envergure puisqu'il était alors très facilement possible d'accéder à des données confidentielles sur les serveurs touchés. Une nouvelle version d'OpenSSL (http://www.nextinpact.com/recherche?_search=Open+SSL) 1.0.1g était mise en ligne afin de combler cette faille béante.
Après Heartbleed, six nouvelles failles pour OpenSSL, dont deux critiques Il y a une semaine, OpenSSL refaisait parler de lui avec la mise en ligne de pas moins de six bulletins de sécurité (http://www.openssl.org/news/secadv_20140605.txt), dont deux étant jugés comme critiques : les CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-0198, CVE-2010-5298 et CVE-2014-3470.
Dans le cas du CVE-2014-0224, des pirates pourraient utiliser une attaque du type « Man In The Middle (http://fr.wikipedia.org/wiki/Attaque_de_l%27homme_du_milieu) » afin de récupérer les transactions effectuées entre un serveur et un utilisateur. De son côté, CVE-2014-0195 évoque la possibilité d'exécuter du code arbitraire, que ce soit côté serveur ou utilisateur. Concernant les autres bulletins, il est question d'attaque par déni de service (DoS (http://fr.wikipedia.org/wiki/Attaque_par_d%C3%A9ni_de_service)), ce qui pourrait rapidement bloquer un site internet. Evernote et Feedly en ont récemment fait les frais (http://www.nextinpact.com/news/88080-feedly-est-victime-dune-attaque-ddos-et-dun-maitre-chanteur.htm) par exemple.
OpenSSL se met à jour, Synology fait de même avec son DSM 5.0 Sont concernées les versions 0.9.8, 1.0.0, et 1.0.1 d'OpenSSL, y compris la 1.0.1g qui corrige Heartbleed (http://www.pcinpact.com/news/87078-14h42-on-vous-explique-heartbleed-faille-securite-decennie.htm). Bien évidemment, de nouvelles moutures ont été mises en ligne : les 0.9.8za, 1.0.0m et 1.0.1h respectivement. C'est justement cette dernière que Synology a utilisée pour mettre à jour son DSM 5.0. Les notes de versions (http://www.synology.com/en-global/releaseNote/model/DS410) n'indiquent d'ailleurs aucune autre modification.
http://static.pcinpact.com/images/bd/news/medium-147455.png (http://static.pcinpact.com/images/bd/news/147455.png)
Comme toujours dans ce genre de situation, il est recommandé de procéder à la mise à jour. Cela se passe directement depuis l'interface d'administration de votre NAS (http://www.prixdunet.com/boitier-externe/?1744=ethernet&order=rate_desc), ou bien en téléchargeant le fichier via ce lien (http://www.synology.com/fr-fr/support/download), il suffit de sélectionner notre NAS dans les menus déroulants.
Le DSM 4.2, dernière mouture disponible pour les NAS DSx-09 par exemple, n'a pas encore avoir été mis à jour, la dernière datant du 15 avril et corrigeait Heartbleed (http://www.synology.com/en-global/releaseNote/model/DS109). Nous tâcherons de voir avec le constructeur si cela sera prochainement le cas, ou pas.
http://static.pcinpact.com/images/bd/news/medium-145790.png (http://static.pcinpact.com/images/bd/news/145790.png)
Début avril (http://www.nextinpact.com/news/86934-openssl-faille-heartbleed-menace-securite-web-sites-ferment.htm), la faille Heartbleed (http://www.pcinpact.com/news/87078-14h42-on-vous-explique-heartbleed-faille-securite-decennie.htm) d'OpenSSL secouait le web mondial. Il faut dire que le problème était d'envergure puisqu'il était alors très facilement possible d'accéder à des données confidentielles sur les serveurs touchés. Une nouvelle version d'OpenSSL (http://www.nextinpact.com/recherche?_search=Open+SSL) 1.0.1g était mise en ligne afin de combler cette faille béante.
Après Heartbleed, six nouvelles failles pour OpenSSL, dont deux critiques Il y a une semaine, OpenSSL refaisait parler de lui avec la mise en ligne de pas moins de six bulletins de sécurité (http://www.openssl.org/news/secadv_20140605.txt), dont deux étant jugés comme critiques : les CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-0198, CVE-2010-5298 et CVE-2014-3470.
Dans le cas du CVE-2014-0224, des pirates pourraient utiliser une attaque du type « Man In The Middle (http://fr.wikipedia.org/wiki/Attaque_de_l%27homme_du_milieu) » afin de récupérer les transactions effectuées entre un serveur et un utilisateur. De son côté, CVE-2014-0195 évoque la possibilité d'exécuter du code arbitraire, que ce soit côté serveur ou utilisateur. Concernant les autres bulletins, il est question d'attaque par déni de service (DoS (http://fr.wikipedia.org/wiki/Attaque_par_d%C3%A9ni_de_service)), ce qui pourrait rapidement bloquer un site internet. Evernote et Feedly en ont récemment fait les frais (http://www.nextinpact.com/news/88080-feedly-est-victime-dune-attaque-ddos-et-dun-maitre-chanteur.htm) par exemple.
OpenSSL se met à jour, Synology fait de même avec son DSM 5.0 Sont concernées les versions 0.9.8, 1.0.0, et 1.0.1 d'OpenSSL, y compris la 1.0.1g qui corrige Heartbleed (http://www.pcinpact.com/news/87078-14h42-on-vous-explique-heartbleed-faille-securite-decennie.htm). Bien évidemment, de nouvelles moutures ont été mises en ligne : les 0.9.8za, 1.0.0m et 1.0.1h respectivement. C'est justement cette dernière que Synology a utilisée pour mettre à jour son DSM 5.0. Les notes de versions (http://www.synology.com/en-global/releaseNote/model/DS410) n'indiquent d'ailleurs aucune autre modification.
http://static.pcinpact.com/images/bd/news/medium-147455.png (http://static.pcinpact.com/images/bd/news/147455.png)
Comme toujours dans ce genre de situation, il est recommandé de procéder à la mise à jour. Cela se passe directement depuis l'interface d'administration de votre NAS (http://www.prixdunet.com/boitier-externe/?1744=ethernet&order=rate_desc), ou bien en téléchargeant le fichier via ce lien (http://www.synology.com/fr-fr/support/download), il suffit de sélectionner notre NAS dans les menus déroulants.
Le DSM 4.2, dernière mouture disponible pour les NAS DSx-09 par exemple, n'a pas encore avoir été mis à jour, la dernière datant du 15 avril et corrigeait Heartbleed (http://www.synology.com/en-global/releaseNote/model/DS109). Nous tâcherons de voir avec le constructeur si cela sera prochainement le cas, ou pas.