Synology a mis en ligne une nouvelle version de son logiciel interne : SRM 1.3.1 Update 3. Cette dernière est disponible pour les routeurs RT660ax, RT2600ac, WRX560 et MR2200ac. Elle contient des corrections pour plusieurs vulnérabilités de sécurité. Il est donc important de l’appliquer au plus vite sur votre matériel… mais il n’y a pas que SRM qu’il faut mettre à jour. En effet, il y a également le paquet VPN Plus Server. Enfin, Synology a communiqué sur la fin du support de SRM 1.2 (notamment pour les RT1900ac), mais aussi pour SRM 1.3…
Routeurs Synology et mises à jour
Il y a quelques jours, le fabricant Synology a mis à disposition SRM 1.3.1 Update 3. Le journal des modifications de cette nouvelle version ne contient qu’une seule ligne :
- Correction de plusieurs vulnérabilités de sécurité (Synology-SA-22:23, Synology-SA-22:25)
Tout d’abord, Synology-SA-22:23 concerne le concours annuel Pwn2Own de Toronto. Nous l’avions abordé en décembre dernier et la mise à jour rapide de DSM par Synology (moins de 24 heures). Pour rappel, l’équipe de Claroty Research, avait trouvé et exploité 3 failles de sécurité pour DSM : 2x absence d’authentification pour une fonction critique et 1x contournement d’une authentification. Ces failles étaient également (en partie au moins) contenues dans SRM en versions 1.3 et 1.2.
Enfin, Synology-SA-22:25 concerne là aussi plusieurs vulnérabilités permettant d’exécuter des commandes à distance et de mener des attaques par déni de service ou de lire des fichiers. Les versions SRM 1.3 et SRM 1.2 sont concernés.
Vous l’aurez compris, l’ensemble de ces failles concernent SRM 1.2 et SRM 1.3. Ça tombe bien, Synology a fourni une mise à jour pour ces deux versions du logiciel interne :
- SRM 1.3.1 Update 3 pour les routeurs les plus récents : RT660ax, RT2600ac, WRX560 et MR2200ac ;
- SRM 1.2.5 Update 6 pour le routeur RT1900ac.
Pour récupérer la mise à jour, vous pouvez télécharger le fichier directement depuis la page de téléchargement sur le site officiel Synology (ou depuis le site archive du fabricant).
VPN Plus Server
Si vous utilisez le paquet VPN Plus Server sur votre routeur Synology, nous vous recommandons de le mettre à jour si ce n’est pas déjà fait. En effet, une faille permet à des attaquants d’exécuter une commande arbitraire à distance via VPN Plus Server (Synology-SA-22:26). 2 paquets ont été fournis par le constructeur depuis plusieurs semaines. Il s’agit des versions :
- VPN Plus Server 1.4.4-0635 (et supérieur) pour SRM 1.3 ;
- VPN Plus Server 1.4.3-0534 (et supérieur) pour SRM 1.2.
Vous pouvez mettre à jour vers la nouvelle version directement depuis le Centre de paquets. Sinon, vous pouvez récupérer le paquet depuis le site officiel (page de téléchargement ou le site Archive Synology) et l’installer manuellement. Pour rappel, la dernière version à jour est 1.4.5-0684.
Fin de support pour SRM 1.2 et SRM 1.3
Synology a également communiqué sur la fin du support de SRM 1.2 à partir de juin 2023. Cela veut dire qu’après cette date, le fabricant ne mettra plus à jour le RT1900ac (premier routeur de Synology). Pour les autres routeurs, on sait déjà que SRM 1.3 ne recevra plus de nouvelle fonctionnalité à partir de juin 2023 également (SRM 1.4 arriverait donc rapidement). Et toujours pour SRM 1.3, ce dernier recevra des mises à jour de sécurité et correction de bugs jusqu’en juin 2024 (source). Après, ce sera fini…
En résumé :
- Juin 2023 : fin du support pour SRM 1.2 et arrêt des nouveautés pour SRM 1.3 (SRM 1.4 prochainement);
- Juin 2024 : fin du support complet pour SRM 1.3.
Pensez à mettre à jour vos appareils, quel qu’il soit