Synology vient de mettre en ligne une nouvelle version de DSM 7.2.2-72806-1. Nous vous recommandons vivement de l’installer, surtout si votre NAS est exposé sur Internet. Cette mise à jour inclut plusieurs corrections de sécurité critiques. Explications…
DSM 7.2.2 Update 1
Lors de l’événement Pwn2Own Ireland 2024, plusieurs vulnérabilités de sécurité ont été découvertes dans les produits Synology. Fidèle à sa politique de réactivité, le fabricant a rapidement déployé des correctifs, notamment pour ses applications Synology Photos et BeePhotos, en quelques heures seulement. DSM 7.2 avait également été malmené pendant cette session et Synology vient de publier un correctif majeur, DSM 7.2.2 Update 1. Si cette mise à jour soit légère en termes de contenu, elle est essentielle pour la sécurité !
Détails de la mise à jour
La mise à jour DSM 7.2.2 corrige plusieurs failles de sécurité identifiées (Synology-SA-24:20) :
- Vulnérabilité ZDI-CAN-25403 : permet à des attaquants distants d’exécuter du code arbitraire ;
- Vulnérabilité ZDI-CAN-25487 : permet à un attaquant de type man-in-the-middle d’obtenir des sessions d’administration ;
- Vulnérabilité ZDI-CAN-25613 : permet à des attaquants distants de lire des fichiers spécifiques ;
- Vulnérabilité ZDI-CAN-25617 : permet à un attaquant adjacent de type man-in-the-middle d’écrire des fichiers spécifiques.
Synology a publié cette mise à jour pour DSM 7.2 et prévoit de déployer une version similaire pour DSM 7.1 (ainsi que DSMUC) d’ici 30 jours.
Téléchargement et mise à jour
Cette mise à jour est urgente à installer. Par défaut, il y a de fortes chances que votre NAS ne vous la propose pas tout de suite. Donc, rendez-vous sur la page Centre de téléchargement de Synology ou mieux sur le site d’archive officiel du fabricant. Le fichier .pat fait un peu plus de 5 Mo. Après l’avoir téléchargé, allez sur l’interface d’administration de votre NAS, puis ouvrez Panneau de configuration > Mise à jour et restauration. Cliquez ensuite sur le bouton Mise à jour manuelle de DSM et sélectionnez le fichier téléchargé en cliquant sur le bouton « Parcourir ». Enfin, appuyez sur le bouton « OK » et attendez environ 10 minutes. Cette mise à jour nécessite un redémarrage du NAS.
Merci Guillaume pour l’alerte