Synology DSM 7.2.2 Update 1 corrige plusieurs failles de sécurité !

Synology vient de mettre en ligne une nouvelle version de DSM 7.2.2-72806-1. Nous vous recommandons vivement de l’installer, surtout si votre NAS est exposé sur Internet. Cette mise à jour inclut plusieurs corrections de sécurité critiques. Explications…

DSM 7.2.2 Update 1

Lors de l’événement Pwn2Own Ireland 2024, plusieurs vulnérabilités de sécurité ont été découvertes dans les produits Synology. Fidèle à sa politique de réactivité, le fabricant a rapidement déployé des correctifs, notamment pour ses applications Synology Photos et BeePhotos, en quelques heures seulement. DSM 7.2 avait également été malmené pendant cette session et Synology vient de publier un correctif majeur, DSM 7.2.2 Update 1. Si cette mise à jour soit légère en termes de contenu, elle est essentielle pour la sécurité !

Détails de la mise à jour

La mise à jour DSM 7.2.2 corrige plusieurs failles de sécurité identifiées (Synology-SA-24:20) :

  • Vulnérabilité ZDI-CAN-25403 : permet à des attaquants distants d’exécuter du code arbitraire ;
  • Vulnérabilité ZDI-CAN-25487 : permet à un attaquant de type man-in-the-middle d’obtenir des sessions d’administration ;
  • Vulnérabilité ZDI-CAN-25613 : permet à des attaquants distants de lire des fichiers spécifiques ;
  • Vulnérabilité ZDI-CAN-25617 : permet à un attaquant adjacent de type man-in-the-middle d’écrire des fichiers spécifiques.

Synology a publié cette mise à jour pour DSM 7.2 et prévoit de déployer une version similaire pour DSM 7.1 (ainsi que DSMUC) d’ici 30 jours.

Téléchargement et mise à jour

Cette mise à jour est urgente à installer. Par défaut, il y a de fortes chances que votre NAS ne vous la propose pas tout de suite. Donc, rendez-vous sur la page Centre de téléchargement de Synology ou mieux sur le site d’archive officiel du fabricant. Le fichier .pat fait un peu plus de 5 Mo. Après l’avoir téléchargé, allez sur l’interface d’administration de votre NAS, puis ouvrez Panneau de configuration > Mise à jour et restauration. Cliquez ensuite sur le bouton Mise à jour manuelle de DSM et sélectionnez le fichier téléchargé en cliquant sur le bouton « Parcourir ». Enfin, appuyez sur le bouton « OK » et attendez environ 10 minutes. Cette mise à jour nécessite un redémarrage du NAS.

Merci Guillaume pour l’alerte

  1. Dommage que cela tarde a arriver en automatique.. par contre dans mon cas, je dois télécharger 3 update et de respecter la séquence d’update une à la fois..

  2. Je suis encore en 7.2.2 72803 sur mes DS918+
    Lorsque je débute l’install de la 72806 j’ai un warning m’indiquant que la conversion du H264 et H265 ne sera plus prise en charge coté serveur…… Si c’est bien le cas, c’est hallucinant de supprimer une fonction qui est nativement prise en charge par le processeur et qui justement me rebute pour basculer sur du AMD…
    Ou alors je n’ai pas tout saisi ?

          1. Yes j’avais lu et même échangé dans les coms de cette news, pour autant les messages de cette version 72806 m’ont remis le doute.

  3. Impossible de trouver des informations pertinentes relative à la vulnérabilité concernant Synology Photo afin de connaître si les anciens systèmes Synology qui ne peuvent plus être mis à jour sont affectés.

    Le DS415+, par exemple, utilise actuellement:
    – Synology DSM: 7.1.1-42962
    – Synology Photo: 1.3.3-0330

    Est ce que cette version de Synology Photo est vulnérable ?

    1. Synology Photos 1.6 et 1.7 sont impactés.
      A ma connaissance, les versions précédentes n’ont pas été éprouvés lors du Pwn2Own Ireland 2024

      Par contre, Synology Photo 1.3.3 est vulnérable (source...) : Multiple vulnerabilities allow remote authenticated users to read specific files, remote authenticated users to delete specific files and remote authenticated users to obtain non-sensitive information.

  4. Attention le site officiel ne propose que la 72806, pas la 72806-Update1. Cette dernière n’est disponible que via le lien vers les archives de Syno à ce jour (en tout cas pour mon 923+).

    Donc ne pensez pas être à jour juste parce que vous êtes en 72806 !

    Il vous faut bien voir Update1 dans DSM pour que vous soyez à jour sur la toute dernière version avec failles corrigées.

    1. Ils ont dû mettre à jour entre temps, je l’ai bien trouvé sur le site officiel pour mon DS420+, mise à jour effectuée

      Merci pour l’alerte

  5. Bonjour,
    Merci de l’info.
    J’ai mis à jour sur un syno 1517+

    Mauvaise nouvelle : même si tout semble fonctionner (j’accède aux partages depuis le PC Windows, les tâches planifiées s’exécutent, le VPN fonctionne, etc…), je ne peux plus me connecter à l’interface web du Synology.

    Faut-il relancer un service par SSH ?
    Si oui, connaitriez vous le nom de ce service ?
    Commande : synosystemctl restart nom_du_service

    Par avance, merci.

  6. Cette mise a jour créé un plantage de la connexion a l’annuaire LDAP.
    On récupère une partie des accès en désactivant le chiffrement SSL de la connexion LDAP.
    Mais pas tous les services.

    1. C’est incroyable ça… Heureusement que je me suis pas jeté dessus !

      Un manque de sérieux de la part de Synology.

  7. La faille peut etre exploitée si un avait synology photo mais qu’on ne l’a plus depuis plusieures mois ? (elle a été désinstallée via l’interface web)
    Merci

  8. Tout marche de mon coté, j’ai pas d’AD et jpeux me connecter sur mon 218+
    Maj pas proposée en automatique (je pense que c’est a cause du probleme ldap qu’il est pas proposé)

  9. Tiens c’est bizarre :
    j’ai un 918+ avec une version 7.2.2-72803 (probablement suite a info sur Cachem…)

    Et quand j’essaye de mettre la 7.2.2-72806-update 1
    il me dit que c’est incompatible avec mon système
    étonnant non ? 😉

  10. Mon DS1621+ fonctionné bien et après cette mise à jour mon volume est en dégradé et en lecture seul…. 😒

  11. J’ai remarqué des attaques sur mon NAS sur le port de Synology Drive (que je n’avais pas avant le 5/11) Je ne sais pas si elles sont liées à cette faille de sécurité. Mais je viens de mettre à jour mon NAS en conséquence

  12. Mise à jour vers la version « 7.2.2-72806 Update 1 » sur mon 918+ faite.
    Plex n’est pas compatible avec cette version ?

    1. Pour ceux que ça pose problème, j’ai réinstallé plex media server : PlexMediaServer-1.41.1.9057 et ça remarche pour le moment

  13. Hello,
    Synology a sortie une version 7.2.1-69057-6 pour ceux qui ne veulent pas passer en 7.2.2
    David

    Version: 7.2.1-69057 Update 6
    Important Update
    (2024-11-12)
    Important notes
    Your Synology NAS may not notify you of this DSM update because of the following reasons. If you want to update your DSM to this version now, please click here to update it manually.
    Your DSM is working fine without having to update. The system evaluates service statuses and system settings to determine whether it needs to update to this version.
    This update will restart the device.
    Fixed Issues
    Fixed multiple security vulnerabilities (Synology-SA-24:20).
    Notes:

    This version is released in a staged rollout.

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.