OpenSSL : la faille Heartbleed aussi pour les NAS

5

faille-openssl-heartbleed

Hier, la journée a été pas mal agitée suite à la publication d’une faille de sécurité majeure dans la bibliothèque open source OpenSSL. Cette dernière est très (très très) utilisée dans les distributions Linux. La faille en question permet à n’importe qui d’accéder à des informations stockées dans la mémoire d’un serveur !

Il faut bien avouer… Nous sommes en présence d’un problème majeur. En effet, vos identifiants et mots de passe de nombreux sites web pourraient être compromis. La faille concerne toutes les versions d’OpenSSL de la 1.0.1 à 1.0.1f (idem pour la 1.0.2 beta). Les versions 1.0.0 et 0.9.8 (ou antérieures) ne sont pas concernées par celle-ci.

Mais nos NAS sont-ils impactés par cette faille ?

Malheureusement, c’est la même punition pour tous les constructeurs de NAS que j’ai pu avoir sous la main :

  • Synology : OpenSSL 1.0.1f (vulnérable)
  • QNAP : OpenSSL 1.0.1e (vulnérable)
  • Thecus est vulnérable sur ses modules et non sur l’OS

N’ayant pas tous les constructeurs de la terre sous la main, je ne peux pas vous confirmer qu’il en soit de même pour les autres. Mais l’inverse serait vraiment étonnant.

Voici le résultat d’un test réalisé sur mon NAS Synology DS412+ disposant de la dernière version de DSM 5.0…

Capture d’écran 2014-04-08 à 22.35.19

Il y a bien un risque… Si vous voulez tester votre serveur NAS, il existe un mini-site dédié. J’oubliai de vous dire que cette faille/bug a son petit nom :  Heartbleed.

Espérons que les différents constructeurs prendront le temps de corriger (rapidement) cette faille majeure. La version OpenSSL 1.0.1g corrige ce bug.

Nous avons interrogé les différents constructeurs de NAS… et nous vous tiendrons informé dès que nous aurons un retour de leur part.

EDIT 9h00 : Thecus travaille sur le problème pour toutes les versions impactées.
EDIT 12h00 : Synology fournira une mise à jour demain ou après demain pour DSM 5.0. Pour les précédentes versions également impactées, un patch sera également disponible prochainement.
EDIT 17h00 : QNAP profitera de QTS 4.1 pour intégrer la mise à jour OpenSSL.

EDIT du 10 avril :

  • Asustor indique pour sa part qu’il n’est pas impacté puisqu’il utilise OpenSSL 1.0.0 dans ADM 2.1. La prochaine version ADM 2.2 disposera bien entendu de la version 1.0.1g.
  • Synology a mis à disposition DSM 5.0-4458 update 2

EDIT du 18 avril : QNAP a décidé de libérer ce jour 2 versions de son logiciel interne QTS :

  • QTS 4.0.7 (version officielle)
  • QTS 4.1.0 RC2 (version non finalisée)

En attendant une correction des différents constructeurs, nous vous conseillons de fermer les services de votre NAS accessible depuis l’extérieur.

Partager.

A propos de l'auteur

Passionné de nouvelles technologies, je suis un touche-à-tout. Mon smartphone ne me quitte (presque) jamais. Je peux vous parler des NAS pendant des heures.

  • Djelme

    Répétez après moi : « le libre c’est plus sécurisé parce que les sources sont libres ! »

    • tsyr2ko

      En attendant, tout le monde est au courant de la faille (et pas juste un petit nombre qui en profite) et celle-ci a été corrigé dans les distros principales en 14h … Le jour où un constructeur avec sources proprios en fait de même, on en reparle 🙂

      • djelme

        C’est sur. Alors que les sources sont libres depuis des années, elle n’a été découverte qu’il y a quelques semaines. Heureusement, comme je dis, que « le libre c’est plus sécurisé parce que les sources sont libres » hein ? et ne change pas de sujet pour noyer le poisson. C’est bien sur le fait que les sources sont libres mais que ça n’est pas un avantage de sécurité que je postais.

      • frgen

        Il me semble que cette faille date de 2011

  • aureseth

    Ouf ! En ce qui concerne Synology, c’est bon, un nouveau DSM est développé et je suis en train de l’installer.

Lire les articles précédents :
Recharger un iPhone en 30 secondes

Le titre est un peu racoleur, je vous le concède... pourtant c'est le pari que s'est lancé une startup israélienne :...

Fermer