Accueil
NAS & Stockage
OS / Applications pour NAS
OS / Applications pour NAS
·

Failles Copy Fail, Dirty Frag et Fragnesia : Quels NAS sont impactés ?

Copy Fail, Dirty Frag et Fragnesia sont 3 failles de sécurité différentes touchant quasiment toutes les distributions Linux. Elles permettent à un utilisateur malveillant d’obtenir un accès root (super-utilisateur) et par conséquent, disposer de tous les droits sur le système. La très grande majorité des NAS fonctionnant ave un noyau Linux, il y a de fortes chances que votre appareil soit concerné…

faille securite - Failles Copy Fail, Dirty Frag et Fragnesia : Quels NAS sont impactés ?

Synology

Commençons par le leader du secteur : Synology. Le fabricant a rapidement communiqué sur Copy Fail et Dirty Frag. Ses systèmes (DSM, SRM, BeeStation…) ne sont pas impactés par ces deux failles. Concernant Fragnesia (qui vient tout juste d’être divulguée), Synology n’a pas communiqué dessus. Cette faille exploite les mêmes modules du noyau Linux que Dirty Frag (esp4, esp6 et rxrpc), il serait donc possible que les NAS Synology soient immunisés.

Le fabricant est souvent pointé du doigt pour l’utilisation d’un noyau Linux ancien, certes robuste… mais dépourvu de certaines fonctionnalités récentes. Force est de constater que cela joue ici en sa faveur.

QNAP

QNAP publie régulièrement des mises à jour, y compris du noyau. Pour autant, aucun correctif n’est encore disponible. Il investigue toujours… le fabricant est toujours en cours d’analyse et ne propose pour l’heure qu’un ensemble de recommandations (ex. : ici et )..

QNAP souligne que l’exploitation de ces failles nécessite un accès SSH ou Telnet, des fonctionnalités que QTS et QuTS hero réservent exclusivement au groupe Administrateur. Le risque demeure néanmoins réel.

Asustor

Asustor a réagi rapidement en publiant un premier correctif pour Copy Fail dès le 12/05 (voir l’annonce ici). Pour Dirty Frag, il faudra attendre encore quelques jours pour en savoir plus.

Pour ce qui est de Fragnesia, le fabricant n’a pas encore communiqué. La faille étant très récente, il faudra patienter encore quelques jours avant d’en savoir davantage.

TerraMaster

Terminons avec TerraMaster. Le fabricant chinois a indiqué que TOS 6 (et les versions précédentes) ne sont pas impactés par Copy Fail et Dirty Frag (comme Synology). En revanche, TOS 7, actuellement en version bêta, est bien concerné. Un correctif est déjà annoncé pour arriver très prochainement. Aucune information n’a été communiquée au sujet de Fragnesia.

En synthèse

Seuls les systèmes actuels de Synology et TerraMaster semblent épargnés par Copy Fail et Dirty Frag. Asustor a été le premier à publier un correctif (et le seul pour le moment), un autre ne devrait pas tarder. QNAP semble encore en phase d’analyse… Nous n’avons pas trouvé d’information concernant UGREEN.

Concernant Fragnesia, aucun fabricant n’a communiqué pour le moment.