Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Synology : nouvelle mise à jour importante du DSM, pour cause de sécurité

Pour le DSM 4.3 et le 5.0

Synology : nouvelle mise à jour importante du DSM, pour cause de sécurité

Le 12 septembre 2014 à 07h00

Synology vient de mettre en ligne encore une nouvelle version de son Disk Station Manager (alias DSM) 4.3 et 5.0. Le fabricant annonce qu'il s'agit d'une mise à jour importante qui corrige une faille de sécurité permettant à des personnes non autorisées d'accéder au NAS.

Depuis le lancement du DSM 5.0 au mois de mars, Synology enchaine les mises à jour à un rythme relativement important. En effet, après quelques ajustements, une nouvelle révision estampillée 5.0 - 4493 était mise en ligne et nous en sommes déjà à la cinquième « Update » de cette dernière : deux en juin, une en juillet, une en août et donc une mi-septembre.

 

D'habitudes relativement bien détaillées, les notes de versions sont cette fois-ci relativement succinctes et ne comprennent que deux points. Premièrement, il est indiqué que la stabilité a été améliorée lors de la copie de fichier dans des dossiers chiffrés. Ensuite, il est question de la « correction d'une vulnérabilité qui pourrait permettre aux serveurs d'accepter l'accès non autorisé ». Notez que, comme toujours en pareille situation, le DSM 4.3 a également droit à sa mise à jour, avec les mêmes changements à la clé. Il passe ainsi en version 4.3 - 3827 Update 7.

 

On aurait par contre aimé un peu plus de détail concernant la faille de sécurité, d'autant plus après l'épisode SynoLocker. Pour rappel, des pirates avaient pris possession de certains NAS et chiffré l'intégralité des données, demandant une rançon contre la clé de déchiffrement. Nous tâcherons d'en savoir plus auprès de Synology et nous mettrons à jour cette actualité suivant les retours obtenus.

 

Si l'on en croit les premiers retours sur le forum de Synology, la mise à jour ne semble pas poser de problème. Comme toujours, n'hésitez pas à nous signaler ce qu'il en est pour vous via les commentaires.

Commentaires (39)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







the_Grim_Reaper a écrit :



En même temps, tu lances la MAJ et tu pars manger, tu regardes quand tu t’as fini c’est tout.

Pourquoi être si mal organiser le matin.









Je dois également faire la maj sur plusieurs syno… Quand aux autres commentaires, c’est vendredi, je râle si je veux ! <img data-src=" />


votre avatar

C’est vrai que même si on peut le faire via un script (ce que je ne sais pas faire), il serait appréciable de pouvoir paramétrer les mises à jour en mode automatique mais à heure fixe.

Les miens sont en manuel pour éviter un reboot intempestif pendant que je travaille sur des fichiers qu’il stocke.

votre avatar







Bill2 a écrit :



Si on commence à se plaindre des éditeurs qui mettent régulièrement à jour leurs produits pour des questions de sécurité, alors là, on est mal barré …<img data-src=" />







Tout à fait d’accord avec toi! <img data-src=" />

MAJ faite lundi pour ma part. Mais pas contre une installation programmable la nuit, du moins pour les mise à jour critique effectivement.

On peut toujours faire remonter cette demande sur le site de synology, ils ont l’air plutôt à l’écoute de leurs clients.


votre avatar







Bill2 a écrit :



C’est où cette option là dans DSM4.3 ?

On peut avoir la notif par mail ? Parce que bon, je ne me connecte pas tous les jours à l’interface du syno <img data-src=" />







Je ne sais pas, je suis en DSM 5 update 5 moi <img data-src=" />

Pour les notifications tu peux, faut aller dans les réglages des notifications, sur DSM5 tu peux choisir les notifs que tu ressois.



Par contre, avec CMS, je peux pas lancer la MAJ sur le syno distant, &nbsp;ça c’est galère. je suis obligé de me connecté sur tous pour pousser la MAJ.

La seul possibilité pour le faire en one shot c’est de DL le fichier de MAJ, mais c’est pas jouable avec un parc étérogène. Il serait de bon aloi qu’ils proposent de lancer le DL depuis les syno, si &nbsp;ce n’est déjà fait, et de pouvoir faire appliquer les MAJ par groupe depuis CMS :)





Gab& a écrit :



Je dois également faire la maj sur plusieurs syno… Quand aux autres commentaires, c’est vendredi, je râle si je veux ! <img data-src=" />

















si ce sont les mêmes modèles ET en DSM 5 , fait la maj en une seule foi via CMS :p


votre avatar

Quelqu’un aurait des nouvelles de la 5.1 (même en Beta) ?

Elle apporte normalement le support d’Hubic et ça me ferait bien plaisir de sauvegarder tout mon nas dessus <img data-src=" />

votre avatar

Perso, j’apprécie la réactivité de Syno et le fait que des mises à jours soient proposées aussi souvent. Je préfère cela à l’autre option qui est de laisser couler et de proposer une grosse mise à jour.



Il est vrai que Syno est très présent dans les entreprises et que cela peut gêner au fonctionnement dès lors que plusieurs machines sont à mettre à jour.



Le seul reproche que j’ai à faire, est le manque d’information sur le problème de sécurité.

votre avatar



On aurait par contre aimé un peu plus de détail concernant la faille de sécurité, d’autant plus après l’épisode SynoLocker. Pour rappel, des pirates avaient pris possession de certains NAS et chiffré l’intégralité des données, demandant une rançon contre la clé de déchiffrement. Nous tâcherons d’en savoir plus auprès de Synology et nous mettrons à jour cette actualité suivant les retours obtenus.





<img data-src=" /> j’aimerai bien savoir comment les gens et syno se sont sortis de cette très mauvaise situation… <img data-src=" />

votre avatar







CryoGen a écrit :



<img data-src=" /> j’aimerai bien savoir comment les gens et syno se sont sortis de cette très mauvaise situation… <img data-src=" />







syno en disant aux gens que ce sont des abrutis de ne pas faire leurs maj pendant des années tout en laissant leur machine accessible en ligne… les gens, on s’en fout. <img data-src=" />


votre avatar

Je savais qu’on pouvait télécharger les maj automatiquement mais maintenant on peut aussi les installer automatiquement ?

votre avatar







Bill2 a écrit :



Si on commence à se plaindre des éditeurs qui mettent régulièrement à jour leurs produits pour des questions de sécurité, alors là, on est mal barré …<img data-src=" />







Le jour où un français arrêtera de râler, là on sera mal barré <img data-src=" />


votre avatar







Bill2 a écrit :



Si on commence à se plaindre des éditeurs qui mettent régulièrement à jour leurs produits pour des questions de sécurité, alors là, on est mal barré …<img data-src=" />







Bof c’est pas nouveau, c’est juste un nouveau concurrent dans la course des maj avec Java Updater et Adobe Reader Update <img data-src=" />


votre avatar







alphacos a écrit :



Je savais qu’on pouvait télécharger les maj automatiquement mais maintenant on peut aussi les installer automatiquement ?







Non


votre avatar

de toute facon, les maj comme ca en entreprise ca se fait en dehors des heures ouvrées, si ca vous dérange fallait pas faire ce métier <img data-src=" />

votre avatar

De mon coter MaJ pas encore faite, à la place j’ai pris l’option ultra sécurité sans MAJ que j’ai activé avec : lignetelephonique.sh –camionDansPoteau <img data-src=" />



<img data-src=" />

votre avatar







Larsene_IT a écrit :



Dommage que Synology ne permette pas de programmer la mise à jour à minuit par exemple… Parce que l’interruption de service d’une dizaine de minutes tous les 15 jours commence à se faire remarquer :-/





Ah et au fait, à toi et tous ceux qui souhaitent automatiser leurs MAJ, je vous conseille de regarder coté cli + cron (ou planif taches via gui) :





&gt; synoupgrade -h

Copyright © 2003-2014 Synology Inc. All rights reserved. 




     --auto   


     --check   


     --download   


     --start   


     --parse   


     --patch ABSOULATE\_UPGRADE\_FILE\_PATH   


     --smallupdate   


     --fetch-all




votre avatar







tibubu257 a écrit :



De mon coter MaJ pas encore faite, à la place j’ai pris l’option ultra sécurité sans MAJ que j’ai activé avec : lignetelephonique.sh –camionDansPoteau <img data-src=" />



<img data-src=" />





Ça va être juste un peu compliqué pour faire la mise à jour.

Il faudra passer par :

lignetelephonique.sh –répare –déplacement\ techniciens –new poteau


votre avatar

Dommage que Synology ne permette pas de programmer la mise à jour à minuit par exemple… Parce que l’interruption de service d’une dizaine de minutes tous les 15 jours commence à se faire remarquer :-/

votre avatar

Je suis d’accord avec toi. Ce serait une option appréciable <img data-src=" />

votre avatar







Larsene_IT a écrit :



Dommage que Synology ne permette pas de programmer la mise à jour à minuit par exemple… Parce que l’interruption de service d’une dizaine de minutes tous les 15 jours commence à se faire remarquer :-/







+1, j’ai fait la maj ce matin avant de partir au taff. Donc merci syno de m’avoir piqué 5 min de petit dej <img data-src=" />


votre avatar







Larsene_IT a écrit :



Dommage que Synology ne permette pas de programmer la mise à jour à minuit par exemple… Parce que l’interruption de service d’une dizaine de minutes tous les 15 jours commence à se faire remarquer :-/







Tu peux tout à fait le faire, c’est juste une question de paramétrage. Personnellement les MàJ ne sont pas en automatique, et je les fais donc uniquement quand ça ne me gène pas.


votre avatar

Mmmmm, j’ai 5 processus “error.cgi” qui prennent tout le CPU depuis la MAJ. J’espère ne pas l’avoir installée trop vite…

votre avatar

A jour depuis hier soir

bon élève

votre avatar







Gab& a écrit :



+1, j’ai fait la maj ce matin avant de partir au taff. Donc merci syno de m’avoir piqué 5 min de petit dej <img data-src=" />







En même temps, tu lances la MAJ et tu pars manger, tu regardes quand tu t’as fini c’est tout.

Pourquoi être si mal organiser le matin :/&nbsp;



Bylon a écrit :



Tu peux tout à fait le faire, c’est juste une question de paramétrage. Personnellement les MàJ ne sont pas en automatique, et je les fais donc uniquement quand ça ne me gène pas.













Je demande à mon syno de DL les maj, mais de ne pa les installer, par contre j’ai la notif, donc j’applique comme toi :)



La maj est faite depuis lundi ou mardi sur mes syno.


votre avatar







Gab& a écrit :



+1, j’ai fait la maj ce matin avant de partir au taff. Donc merci syno de m’avoir piqué 5 min de petit dej <img data-src=" />







Si on commence à se plaindre des éditeurs qui mettent régulièrement à jour leurs produits pour des questions de sécurité, alors là, on est mal barré …<img data-src=" />


votre avatar







the_Grim_Reaper a écrit :



Je demande à mon syno de DL les maj, mais de ne pa les installer, par contre j’ai la notif, donc j’applique comme toi :)







C’est où cette option là dans DSM4.3 ?

On peut avoir la notif par mail ? Parce que bon, je ne me connecte pas tous les jours à l’interface du syno <img data-src=" />


votre avatar

Mais non, c’est que j’utilise 8 rackstation dans mon entreprise… donc ça prend un peu plus de temps

que 5 min, et du coup, ça gène de tte façon qqu’un …

votre avatar







Bylon a écrit :



Tu peux tout à fait le faire, c’est juste une question de paramétrage. Personnellement les MàJ ne sont pas en automatique, et je les fais donc uniquement quand ça ne me gène pas.







ça ? pas d’option dans DSM pour lui dire : fais la mise à jour à minuit …


votre avatar







Bill2 a écrit :



Si on commence à se plaindre des éditeurs qui mettent régulièrement à jour leurs produits pour des questions de sécurité, alors là, on est mal barré …<img data-src=" />







On est en France mon ami <img data-src=" />


votre avatar







Larsene_IT a écrit :





ça ? pas d’option dans DSM pour lui dire : fais la mise à jour à minuit …







Ben tu cliques sur « Mettre à jour » à minuit : c’est ce qu’il appelle pas automatique <img data-src=" />


votre avatar

C’est assez impresionnant le rythme auquel les mises à jours se succèdent en ce moment, et chaque fois pour cause de faille de sécurité très sérieuse à critique, c’est des passoires à ce point là les DSM 4.23 et 5 ? (perso je suis encore en 4.2, faudra que je pense à mettre à jour un de ces 4 <img data-src=" /> … enfin quand les versions ultérieures auront enfin été stabilisées quoi <img data-src=" />)

votre avatar







Guinnness a écrit :



C’est assez impresionnant le rythme auquel les mises à jours se succèdent en ce moment, et chaque fois pour cause de faille de sécurité très sérieuse à critique, c’est des passoires à ce point là les DSM 4.23 et 5 ? (perso je suis encore en 4.2, faudra que je pense à mettre à jour un de ces 4 <img data-src=" /> … enfin quand les versions ultérieures auront enfin été stabilisées quoi <img data-src=" />)







Des failles, il y en a partout. souvent pas découverte.

Quand on met le paquet pour les découvrir comme syno le fait actuellement, il faut bien les boucher et faire des patchs/versions.



un constructeur qui fait aucune maj/maj de secu c’est encore plus louche à mon sens.



tout ceci n’a d’impact que si le nas est ouvert sur internet.



il n’y aurait eu aucun problème avec le syno locker si les nas des personnes qui le laissent dispo sur internet avaient fait correctement les majs :/.



pour le miner, je ne sais plus ? est cequ’il y avait deja une maj?



perso je suis une bite en sécurisation donc je ne laisse pas le nas avec les ports ouverts sur internet.

et si c etait le cas, je laisserai le minimum en accès. un user non admin, pas d’accès à l’interface de gestion..etc


votre avatar

c’est quoi tout ces commentaires de gens qui se plaignent de mise a jour ? surtout Gab& … va falloir apprendre a s’organiser un minimum !



quant a syno vaut mieux des corrections que rien du tout… un produit qui n’aurait pas de mise a jour ca serait pas normal ..



y en a j’ai du mal a les comprendrE… si y a des maj ca va pas.. si y a pas de maj ca va pas.. à un moment je pense que certains devraient se mettre au tricot !

votre avatar

Y a une option pour télécharger les MAJ automatiquement, ca ok.



Perso j’aimerais une case à cocher pour installer les MAJ automatiquement la nuit…. qui serait autrement plus pratique. Je comprend d’ailleurs pas pourquoi c’est pas dispo vu les nombreuses MAJ.











chaton51 a écrit :



c’est quoi tout ces commentaires de gens qui se plaignent de mise a jour ? !







2 maj par mois et on est en droit de se demander si les mecs de syno savent codé autre chose qu’un gruyère.



Alors oui c’est très bien la réactivité, mais c’est inquiétant quand meme, surtout que les maj de sécurité en ce moment c’est pour des grosses failles, pas pour es p’tit trucs.


votre avatar

Bah, comparé aux mises à jours quasi quotidiennes de Windows, 2 mois ça va <img data-src=" />

votre avatar







Stel a écrit :



Y a une option pour télécharger les MAJ automatiquement, ca ok.



Perso j’aimerais une case à cocher pour installer les MAJ automatiquement la nuit…. qui serait autrement plus pratique. Je comprend d’ailleurs pas pourquoi c’est pas dispo vu les nombreuses MAJ.





Non mais attendez, vous n’avez qu’à appuyer sur un bouton pour appliquer la maj…

Et quand c’est pour un environnement pro, à ce compte là on se sort les doigts et on utilise synoupgrade en console…

Faut pas déconner quand même.









Stel a écrit :



2 maj par mois et on est en droit de se demander si les mecs de syno savent codé autre chose qu’un gruyère.



Alors oui c’est très bien la réactivité, mais c’est inquiétant quand meme, surtout que les maj de sécurité en ce moment c’est pour des grosses failles, pas pour es p’tit trucs.





C’est ironique c’est ca ?

T’es au courant que bcp des maj de sécu majeures qui sont sorties dernièrement concernaient openssl ?

Et au cas ou tu demanderais, non ce n’est pas synology qui développe openssl, eux se contentent de patcher leur OS avec les correctifs, ca n’a rien à voir avec leur capacité à coder…


votre avatar







Gab& a écrit :



+1, j’ai fait la maj ce matin avant de partir au taff. Donc merci syno de m’avoir piqué 5 min de petit dej <img data-src=" />









Haha, moi je l’ai faite du train \o/


votre avatar







Jarodd a écrit :



Ben tu cliques sur « Mettre à jour » à minuit : c’est ce qu’il appelle pas automatique <img data-src=" />







Merci Jarodd, c’est bien ça !.. <img data-src=" />



Au pire tu peux toujours faire un crontab avec les heures qui te conviennent.


votre avatar







Tim-timmy a écrit :



syno en disant aux gens que ce sont des abrutis de ne pas faire leurs maj pendant des années tout en laissant leur machine accessible en ligne… les gens, on s’en fout. <img data-src=" />





+1. Ceux qui se sont fait pirater avaient leur syno accessible depuis le net avec un login/password, ce qui est fort léger d’un point de vue sécu. Le VPN, c’est pas fait pour les chiens !


votre avatar







TBirdTheYuri a écrit :



Bah, comparé aux mises à jours quasi quotidiennes de Windows, 2 mois ça va





Tu parles des mises à jour téléchargées/installées automatiquement le second mardi de chaque mois lors du Patch Tuesday ? <img data-src=" /> Il y a de temps à autre une mise à jour hors cycle, mais c’est assez rare. Par contre, si tu utilises Microsoft Security Essentials (Win7-) ou Windows Defender (actif par défaut sur Win8+), il est normal d’avoir une mise à jour quotidienne, en l’occurrence les définitions de virus. <img data-src=" />


Synology : nouvelle mise à jour importante du DSM, pour cause de sécurité

Fermer