NAS et vulnérabilité dans XZ Utils

Vous avez certainement entendu parler de la vulnérabilité découverte dans XZ Utils. Naturellement, vous vous questionnez : est-ce que mon NAS est concerné ? Synology et QNAP ont répondu et leurs NAS…

XZ Utils et NAS

Pendant que certains cherchaient les œufs en chocolat, d’autres apprenaient avec effroi l’existence d’une vulnérabilité (backdoor)dans XZ Utils. XZ Utils, c’est un ensemble de logiciels gratuits permettant de compresser des fichiers sans perdre de qualité, accessible en ligne de commandes. On y retrouve des programmes comme lzma et xz. XZ Utils est utilisé par de nombreux systèmes : Linux, FreeBSD et même Windows.

Ce week-end, un employé de Microsoft aurait découvert une porte dérobée permettant de contourner les droits pour se connecter en SSH sur une machine distante. Cette faille affecte les versions 5.6.0 ou 5.6.1 de XZ Utils. Forcément, cette découverte a suscité des inquiétudes quant à ses éventuelles répercussions sur les NAS.

QNAP et Synology

Les 2 fabricants ont rapidement réagi en affirmant que leurs systèmes QTS et DSM n’étaient pas affectés par cette vulnérabilité, étant donné qu’ils n’utilisent pas les versions incriminées de XZ Utils. C’est un soulagement.

Pour vérifier par vous-même, connectez-vous à votre serveur (en SSH) avec les droits administrateur. Ensuite, tapez la commande suivante :

xz --version

ou bien
dpkg -l | grep "xz-utils"

Ces commandes vous permettront de vérifier la version de XZ Utils installée sur votre système. Si vous obtenez une version différente des versions 5.6.0 ou 5.6.1, vous pouvez être rassuré quant à la sécurité de votre NAS.

Et les autres ?

Asustor et TerraMaster n’ont pas encore fait de déclaration concernant cette vulnérabilité. Les éditeurs des solutions OpenMediaVault, TrueNAS n’ont pas encore communiqué officilellement, mais tout laisse à penser que leurs systèmes ne sont pas affectés (lire ici ou ). Pour ce qui est d’Unraid, d’après le forum officiel, les ystème ne serait pas vulnérable.

[Edit 22h20] Asustor utiliserait la version 5.2.4, donc non concerné (merci @MilesTEG)