Synology met à jour son DSM 4.3 : OpenSSL, stabilité et pare-feu améliorés
Et chez les autres fabricants de NAS ?
Synology vient de mettre en ligne une nouvelle version 3827 Update 3 de son DSM 4.3. Comme la précédente mise à jour, il s'agit de boucher les six nouvelles failles d'OpenSSL, mais aussi de corriger un souci du côté du pare-feu et d'améliorer la stabilité du DS214play. Du côté d'Asustor, QNAP et Thecus, c'est le silence radio pour le moment.
Il y a quelques jours, Synology déployait une mise à jour de son DSM 5.0 : la 4493 Update 1. Celle-ci était qualifiée d'importante par le constructeur puisqu'elle corrigeait six nouvelles failles OpenSSL, dont deux étaient jugées comme critiques. Cette fois-ci, c'est au tour du DSM 4.3.
Synology propose en effet une mise à jour du DSM 4.3 : la 3827 Update 3. Là encore, il est question de boucher les failles CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-0198, CVE-2010-5298 et CVE-2014-3470 d'OpenSSL, mais pas uniquement. En effet, le fabricant précise qu'il corrige également « un problème qui a provoqué l'inefficacité des règles du pare-feu DSM après la mise à jour du système », ce qui peut rapidement devenir problématique. De plus, le DS214play a droit à une attention toute particulière et le constructeur annonce une meilleure stabilité.
Synology permet donc à ceux qui ne souhaitent pas passer au DSM 5.0 de continuer à utiliser le DSM 4.3 dans de bonnes conditions, un point appréciable. On regrettera par contre que le DSM 4.2 ne soit pas (encore ?) mis à jour. Pour rappel, seuls les NAS de la série DS-x10 ou plus récents peuvent profiter du DSM 5.0, les NAS DS-x09 sont par exemple limités au DSM 4.2, mais ils avaient tout de même eu droit à une version 4.2 - 3428 dédiée à Heartbleed.
Du côté des autres fabricants de NAS, aucune mise à jour ne semble disponible pour le moment. Si les six nouvelles failles d'OpenSSL ne sont pas aussi importantes que Heartbleed, elles n'en restent pas moins critiques pour deux d'entre elles et touchent les versions 0.9.8, 1.0.0 et 1.0.1 d'OpenSSL. Des corrections ont été apportées dans les moutures 0.9.8za, 1.0.0 m et 1.0.1 h respectivement. Pour rappel, Asustor exploite OpenSSL 1.0.0 dans son ADM 2.1, tout comme l'ADM 2.2 bêta. La situation est identique chez Thecus, ainsi que pour le QTS 4.0 de QNAP. La version intégrée dans le QTS 4.1 n'est pas précisée.
Commentaires (12)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 23/06/2014 à 08h41
Les pubs pour QNAP et Thecus à droite de la news sont risibles
" />
Le 23/06/2014 à 08h44
Des p’tits trous, des p’tits trous, toujours des p’tits trous…
Pauvre OpenSSL.
Le 23/06/2014 à 09h26
Le 23/06/2014 à 09h29
Le 23/06/2014 à 09h49
Mais quel est le risque exactement … ? Surtout si on utilise pas de SSL sur son NAS… ? (c’est une question, pas taper !)
Le 23/06/2014 à 10h24
Le 23/06/2014 à 10h32
N’empêche Synology poutre pour le suivi de ses firmwares.
Le 23/06/2014 à 10h39
Le 23/06/2014 à 12h49
Le 23/06/2014 à 13h47
Et chez les autres fabricants de NAS ?
Trois solutions :
Soit la faille était présente et a été corrigée.
Soit la faille est présente et non corrigée.
Soit la faille n’est pas présente, donc elle ne peut pas être corrigée.
Le 24/06/2014 à 09h49
Le 27/06/2014 à 08h46
Pour ce qui est de Thecus. la faille est corrigé avec les derniers firmware, avis à tous les médisant…
" />