Depuis quelques jours, une importante faille de sécurité touche le Bash. Si de nombreuses machines sous Linux, OS X et Unix sont concernés, les NAS ne sont évidemment pas épargnés. Synology et QNAP ont déjà commencé à communiquer sur le sujet et des correctifs arrivent.
Le Bash est le shell (interface système) utilisé par défaut par de nombreux systèmes d'exploitation : Linux et Unix sont ainsi particulièrement concernés. Par conséquent, les machines utilisant un système basé sur l'un de ces derniers peuvent également être touchées par cette faille. Comme c'était déjà le cas pour Heartbleed, les NAS ne sont donc pas épargnés.
QNAP a ainsi publié un communiqué de presse afin d'informer ses utilisateurs. La société en profite pour rappeler que le premier patch corrigeant la faille du Bash (CVE-2014-6271) n'est pas suffisant et qu'un nouveau bulletin d'alerte (CVE-2014-7169) a été mis en ligne par le NIST. Le problème n'est donc pas entièrement réglé, et ce, quel que soit le système d'exploitation. Un point à surveiller de près donc.
Quoi qu'il en soit, QNAP demande à ses clients de déconnecter d'Internet la plupart des services : l'interface d'administration, le serveur Web, les Stations (Photo, Music, File, etc.) ainsi que le protocole WebDAV. De manière générale, il est donc recommandé de ne permettre aucun accès à son NAS depuis Internet, mais de les limiter au réseau local. Pour les plus inquiets, QNAP propose de désactiver complètement l'interface du QTS en arrêtant le serveur Apache (la marche à suivre ce trouve par là).
De son côté, Synology indique que « suite à une enquête approfondie, la majorité des NAS Synology n'est pas concernée ». Le constructeur ajoute que le « système d'exploitation de Synology, le Disk Station Manager (DSM), est protégé par défaut. Le Bash intégré au DSM est réservé aux services du système (HA Manager) seulement et n'est pas disponible pour les utilisateurs publics ». Les NAS grand public ne sont donc pas concernés par défaut, ce qui n'est pas le cas des modèles plus haut de gamme.
Voici la liste des NAS vulnérables selon Synology, qui précise que « les modèles qui ne sont pas dans cette lise, ne sont pas concernés par la faille du Bash » :
- 15-series: DS415+
- 14-series: RS3614xs+, RS2414+, RS2414RP+, RS814+, RS814RP+, RS3614xs, RS3614RPxs
- 13-series: DS2413+, DS713+, RS10613xs+, RS3413xs+, DS1813+, DS1513+
- 12-series: DS712+, DS1512+, DS1812+, DS3612xs, RS3412xs, RS3412RPxs, DS412+, RS812+, RS812RP+, RS2212+, RS2212RP+
- 11-series: DS3611xs, RS3411xs, RS3411RPxs, DS2411+, RS2211+, RS2211RP+, DS1511+, DS411+II, DS411+
- 10-series: DS1010+, RS810+, RS810RP+, DS710+
QNAP et Synology indiquent que des correctifs sont en préparation et seront prochainement mis en place. Du côté de Thecus, aucune information pour le moment. Nous tâcherons de contacter le fabricant afin d'avoir de plus amples informations.
Commentaires (127)
Mon mien n’est pas dedans o//
En attendant la mise à jour de sécurité, peut-être désactiver l’accès au terminal à titre préventif sur les NAS concernés ?
Est-ce que la faille touche seulement Bash ou touche-t-elle aussi Dash (non pas la lessive…) ?
Juste pour savoir si mon Raspberry Pi est impacté ^^
Bizarre, le RS812+ est dedans, mais pas le RS812 ?! Pourtant la base est la même … sauf processeur & ram …
“Linux et Linux sont concernés”. Merci on n’en demandait pas tant lol
le « système d’exploitation de Synology, le Disk Station Manager (DSM), est protégé par défaut. Le Bash intégré au DSM est réservé aux services du système (HA Manager) seulement et n’est pas disponible pour les utilisateurs publics ». Les NAS grand public ne sont donc pas concernés par défaut, ce qui n’est pas le cas des modèles plus haut de gamme.
Mouais … tant que quelqu’un n’a pas trouver une autre fail dans le même style que les injection sql, par exemple en passant par dsm photo en compte invité.
C’est pourtant pas compliqué de proposer une mise à jour du bash.
Je note, encore une fois, que Thecus fait comme l’armée sur els dossiers sensibles “si on ne dit rien, ils vont oublier”.
En tous cas, Syno et Qnaps comuniquent et s’est une bonne chose.
Après, que les informations soient totalement fiables sur les systèmes touchés chez Syno, c’est autre chose.
Question bête:
Sachant que la faille touche tous les Linux, cela touche aussi tous les téléphones android.
Vu que pour le moment aucune maj d’android n’est sortie et que bon nombre de tel android ne profite plus de maj (dont le mien), je suppose qu’on peut jeter à la pubelle tous ces tels?
Pour une fois Windows n’est pas concerné
" />
Si j’ai bien compris les conséquences du bug, sur un Synology il faut :
A propos de HTTPD (from Red Hat : https://access.redhat.com/node/1200223)
CGI scripts are likely affected by this issue: when a CGI script is run by the web server, it uses environment variables to pass data to the script. These environment variables can be controlled by the attacker. If the CGI script calls Bash, the script could execute arbitrary code as the httpd user. mod_php, mod_perl, and mod_python do not use environment variables and we believe they are not affected.
Vu que Niktareum avait l’air de vouloir être constructif, il est bloqué sur la news
" />
Ce soir, faudra que je voie s’il y a quelque chose pour ma LMDE (basée sur Debian Testing). Mais bon, c’est pas critique, elle est sur mon portable…
Pour compléter, je vous renvoie à l’article publié sur linuxfr.org http://linuxfr.org/news/une-faille-nommee-shellshock) :
Les conditions de l’exploitation à distance de la faille sont relativement simples :
Je pose une question légèrement à côté du sujet mais j’ai un NAS Synology et j’etais depuis quelques jours avec le dernier DSM sorti “5.0-4493 Update 5” et je vois aujourd’hui qu’on me propose le “DSM 5.0-4493 update 7”.
Suis-je le seul à avoir cette mise à jour proposée ?
Je me pose des questions depuis les failles de ces dernières semaines. ;)
Y’a t’il tout de même un risque pour un Syno ayant les fonctions Telnet/SSH désactivés?
edit: idem je viens de voir une update 7 mais le patch note s’arrête à l’update 5 donc impossible de savoir à quoi cela correspond…
bon j’ai eu une mise a jour pour mon DS1513+ ( DSM 5.0-4493 update 7 alors que jetait en update 5)
" />
" />
depuis je ne peut plus y accédé par le web
yeahhhhhhhhhhhhhh
Dear user,
A new version of DSM has been downloaded and is ready to install. Please sign into NAS1513+ and go to Control Panel > Update & Restore to install DSM 5.0-4493 update 7.
Sincerely,
Synology DiskStation
synology vient de déployer une mise a jour pour corriger les 2 failles
(update 7 pour DSM 5)
Y’a un truc que je comprends pas bien avec cette faille … les gens créent des applis qui lancent des commandes bash sans nettoyer les variables d’environnement, s’étonnent que ça crée une faille et crient au bug ? La faille ne serait pas plutôt dans les programmes qui lancent de telles commandes sans rien vérifier ?
En même temps, sauf exception, sur un NAS à part les utilisateurs admin personne doit avoir accès à un shell…
" />
Déjà corrigé, merci OpenMediaVault
" />
Bizarre, mon DS411+II est concerné mais reste bloqué en “update5”…