Failles Shellshock : enfin des mises à jour pour les NAS Thecus

Après QNAP et Synology, c'est au tour de Thecus de mettre à disposition des mises à jour de sécurité pour son interface d'administration afin de boucher les failles Shellshock du Bash. Les versions 5 et 6 de Thecus OS sont concernées.

Il y a trois semaines, une importante faille du Bash était identifiée, publiée et corrigée. Connue sous le nom de Shellshock, elle a entrainé la mise à jour de nombreux système Linux et Unix, mais également OS X d'Apple. Comme nous l'avions précisé, les NAS n'étaient pas épargnés.

QNAP et Synology ont réagi rapidement en publiant des mises à jour de leur QTS et DSM respectivement, mais qui ne corrigeaient que partiellement le souci. Quelques jours plus tard, le premier mettait en ligne un patch afin de boucher quatre nouvelles failles : les CVE-2014-6277, CVE-2014-6278, CVE-2014-7186 et CVE-2014-7187. Pendant ce temps-là, Thecus restait bien silencieux, même si certains clients indiquaient être touchés par Shellshock.

Mais ce n'est désormais plus le cas et, via un communiqué de presse, le fabricant indique que des mises à jour sont désormais disponibles pour les versions 5 et 6 de son interface maison. Concernant les NAS Nx310, Nx520 et Nx560 sous Thecus OS6, il faudra installer un patch. Tandis que du côté de Thecus OS5, il faudra mettre à jour le firmware en v2.05.06 pour la version 64 bits et v5.03.02.8 pour les autres. 

Sont concernées les failles CVE-2014-6271, CVE-2014-7169, CVE-2014-7187 et CVE-2014-7186, mais le fabricant précise par contre que le patch pour le NAS N2310 ne corrige pas le CVE-2014-7186, sans en préciser les raisons. Il n'y a par de plus aucune mention pour les failles CVE-2014-6277 et CVE-2014-6278, pourtant corrigées par QNAP. Nous tâcherons d'en savoir plus auprès du fabricant. Quoi qu'il en soit, pour télécharger les fichiers nécessaires à la mise à jour de Thecus OS, c'est par ici que ça se passe.