Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

[MàJ] Heartbleed : QNAP publie la mise à jour pour ses NAS

Je vais bien, tout va bien...

[MàJ] Heartbleed : QNAP publie la mise à jour pour ses NAS

Le 23 avril 2014 à 15h10

Comme nous l'indiquions hier, la faille Heartbleed d'OpenSSL pourrait avoir des conséquences assez graves sur la sécurité des sites web. Mais ces derniers ne sont pas les seuls concernés et tous les services utilisant OpenSSL sont autant de cibles potentielles. Certains services commencent ainsi à réagir et à communiquer.

DSM 5.0

 

Lundi, le NIST (National Institute of Standards and Technology) publiait un bulletin d'alerte concernant une faille touchant toutes les versions 1.0.1 d'OpenSSL, sauf la dernière 1.0.1 g qui apporte un correctif. Comme nous l'avons détaillé ce matin, les conséquences peuvent être fâcheuses puisque cela touche de très nombreux sites, dont des banques et des systèmes de paiement en ligne. Mais ce problème ne se limite pas aux sites et de nombreux services sont aussi concernés, dès lors qu'ils exploitent OpenSSL. Ils doivent donc eux aussi être mis à jour.

Les NAS sont également touchés, la mise à jour du DSM 5.0 de Synology est en ligne

Du côté des NAS par exemple, plusieurs constructeurs nous ont confirmé être touchés par Heartbleed en précisant travailler sur un patch : c'est le cas d'Asustor et de Synology. Le premier se contente d'indiquer qu'il est en « train de résoudre le problème ». Nos confrères de Cachem ont pu avoir de plus amples précisions et nous indiquent que la faille ne serait finalement pas présente sur l'ADM 2.1 (qui exploite OpenSSL 1.0.0) et que la version 2.2 sortira avec OpenSSL 1.0.0 g qui ne contient pas la faille Heartbleed.

 

De son côté, Synology nous annonce qu'il travaille sur une nouvelle version du DSM 5.0, qui est dès à présent en ligne. Vous pouvez l'installer directement depuis l'interface de votre NAS ou bien en téléchargeant le nouveau firmware DSM 5.0 4458 Update 2 par ici. Les clients ne disposant que du DSM 4.2 ou 4.3 ne sont pas laissés de côté et auront également droit à un patch, mais sans détails sur le calendrier. On notera que Synology joue décidément de malchance ces derniers temps, puisqu'il enchaîne les failles.

L'OS de Thecus n'est pas touché, ce qui n'est pas forcément le cas des modules

De son côté, Thecus nous indique qu'il n'est pas directement concerné par HeartBleed : « Nos systèmes ne sont pas impactés, notre OpenSSL est plus ancienne (1.0.0.e) ». Néanmoins, certains modules sont touchés par la faille HeartBleed et Stéphane Guérithault, ingénieur technique chez Thecus, nous précise qu'ils seront mis à jour très rapidement.

 

QNAP a finalement répondu à nos questions en indiquant que le firmware 4.0.7 pour les NAS haut de gamme des séries TS-x69, x70 et x79 sera publié dès ce soir. Du côté des modèles plus grand public comme les TS-x79 Pro et x69L des firmwares seront également disponibles ce soir, mais en bêta. Dans tous les cas, il faudra par contre passer par le forum du constructeur afin de les récupérer, les mises à jour en direct depuis les NAS ne seront mises en place qu'à partir de lundi.

Le protocole Bitcoin passe en version 0.9.1 pour corriger la faille 

Le protocole Bitcoin exploitant lui aussi OpenSSL, il n'est pas épargné. Après une mise à jour 0.9.0 corrigeant des soucis du côté de la malléabilité des transactions, une nouvelle version 0.9.1 est disponible depuis hier. Bien évidemment, il est plus que recommandé de se mettre à jour. Notez que selon CoinDesk, la majorité des plateformes d'échanges sont à jour, mais la prudence doit toujours être de mise pour le moment.

 

Il faudra d'ailleurs vérifier ce qu'il en est pour les autres crypto-monnaies qui se basent le plus souvent sur Bitcoin et devront sans doute, elles aussi, êtres mises à jour. Dans tous les cas nous vous recommandons de télécharger la nouvelle version du client assez rapidement.

Commentaires (76)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







sr17 a écrit :



Par mesure de sécurité, change de copine. <img data-src=" />







Le problème je dirai est plutôt au niveau de la couche 8 du modèle OSI (entre l’ordi et sa copine). Une copine cela peut néanmoins rendre des services utiles


votre avatar







picatrix a écrit :



il “semblerait” que que ça ne soit pas fini <img data-src=" />



la correction cacherait une nouvelle faille… <img data-src=" />



la faille serait donc selon l’auteur “délibérée<img data-src=" /> <img data-src=" />



le feuilleton continue.

quelqu’un peut me fournir du popcorn ?





C’est pire qu’une faille. C’est une backdoor.<img data-src=" />


votre avatar







Patch a écrit :



tu devrais essayer les bas résille et les talons, parait que ca marche bien quand tu marches sur les trottoirs <img data-src=" />





le commerce dans les halls d’immeubles est vraisemblablement plus rentable. <img data-src=" />


votre avatar







sr17 a écrit :



C’est tout l’avantage de construire son propre Nas et de l’équiper avec un Linux standard.



Et ce n’est ni compliqué, ni cher : Il n’y a que des avantages.





Boarf, un NAS domestique commercial offre une bonne intégration, du raid natif, une faible conso électrique… pour pas cher.

Difficile de faire aussi bien avec le home made <img data-src=" />



édit : Typiquement, mon syno est up h24 alors que mon poweredge2900 n’est up que quelques heures par trimestre. Pourtant le 2900 a 8 baies raid5, bi-xeon et pas mal de ram ; rien à voir avec la config poussive de mon pauvre ds411j.


votre avatar







neves a écrit :



On parle ici de l’interface Web d’administration du routeur, qui peut dévoiler le mot de passe d’administration du routeur (ou un cookie de session) si un admin s’y est connecté et que la faille est présente.







Merci pour cette réponse claire et concise. <img data-src=" />


votre avatar







TBirdTheYuri a écrit :



Mes deux Syno (DSM5) ont reçu une mise à jour ce matin qui corrige ce bug



DSM 5.0-4458 update 2





+1 mes DS211 et DS411+II ont reçu la màj DSM 5.0-4458 update 2.


votre avatar







lateo a écrit :



Boarf, un NAS domestique commercial offre une bonne intégration, du raid natif, une faible conso électrique… pour pas cher.

Difficile de faire aussi bien avec le home made <img data-src=" />







Franchement, sauf envie de bricoler, récupération de matériel qui autrement aurait servir à rien ou besoin très spécifique, je ne vois pas l’intérêt d’un NAS fait maison.



J’en ai assemblé deux avec des pièces de récupération avant de me payer un QNAP 4 disques durs. Je préfère mon QNAP pour les raisons que tu avances.


votre avatar

Idem pour moi, trop casse-noisette à maintenir en service mon NAS home-made, et surtout trop gourmand en énergie et en volume occupé, en plus d’être bruyant.

Depuis que j’ai acheté mes Syno je n’ai plus de place perdue, j’ai réduit de 20% ma facture EDF et le silence est de retour <img data-src=" />

votre avatar

Personne sais quand Ubuntu va faire la mise à jour pour les LTS ? Je vais finir par le faire même si je ne vois rien arriver.

votre avatar

muarf après l’update d’un DS112j, celui ci a perdu sa config… obligé de le réinstaller… me tate à faire la maj sur mon DS413 du coup…

votre avatar







zefling a écrit :



Personne sais quand Ubuntu va faire la mise à jour pour les LTS ? Je vais finir par le faire même si je ne vois rien arriver.



La 14.04 LTS est prévue pour le 17 mais je ne sais pas si c’était la question.


votre avatar







papinse a écrit :



La 14.04 LTS est prévue pour le 17 mais je ne sais pas si c’était la question.







Non je parle d’OpenSSL, j’ai toujours une version de mars et je ne vois pas celle du 7 avril pointer dans les dépôts.


votre avatar

On dirait que la MAJ synology a été retirée, je ne la vois pas dans les fichiers dispos en téléchargement, alors que le changelog est là (et il me dit que l’update 1 est la dernière à jour quand je passe par l’interface)… Et des posts sur le forum suggèrent qu’ils étaient encore vulnérables après la MAJ (version f de openssl, la g corrige la faille il me semble) .. je table sur un fix du fix rapidement



edit: quoique “Ok i got the update (automatically now) , tested the exploit and it no longer exists.” mais bon, ça explique pas vraimenthttp://global.download.synology.com/download/DSM/5.0/4458/ qui affiche toujours des “vieux” fichiers

votre avatar







Tim-timmy a écrit :



On dirait que la MAJ synology a été retirée, je ne la vois pas dans les fichiers dispos en téléchargement, alors que le changelog est là (et il me dit que l’update 1 est la dernière à jour quand je passe par l’interface)… Et des posts sur le forum suggèrent qu’ils étaient encore vulnérables après la MAJ (version f de openssl, la g corrige la faille il me semble) .. je table sur un fix du fix rapidement



edit: quoique “Ok i got the update (automatically now) , tested the exploit and it no longer exists.” mais bon, ça explique pas vraimenthttp://global.download.synology.com/download/DSM/5.0/4458/ qui affiche toujours des “vieux” fichiers







Ils ont bien fait de l’avoir retiré, le mien ne boot plus suite à la maj.


votre avatar







xianghua a écrit :



Ils ont bien fait de l’avoir retiré, le mien ne boot plus suite à la maj.







Quel modèle de syno ne boot plus ? ton DS112j qui a perdu la conf ou tu as essayé l’autre ?


votre avatar

Toujours pas de nouvelles de la MàJ des DSM 4.2 et 4.3 ?

votre avatar







lateo a écrit :



Boarf, un NAS domestique commercial offre une bonne intégration, du raid natif, une faible conso électrique… pour pas cher.

Difficile de faire aussi bien avec le home made <img data-src=" />



édit : Typiquement, mon syno est up h24 alors que mon poweredge2900 n’est up que quelques heures par trimestre. Pourtant le 2900 a 8 baies raid5, bi-xeon et pas mal de ram ; rien à voir avec la config poussive de mon pauvre ds411j.









Hey Joe a écrit :



Franchement, sauf envie de bricoler, récupération de matériel qui autrement aurait servir à rien ou besoin très spécifique, je ne vois pas l’intérêt d’un NAS fait maison.



J’en ai assemblé deux avec des pièces de récupération avant de me payer un QNAP 4 disques durs. Je préfère mon QNAP pour les raisons que tu avances.









TBirdTheYuri a écrit :



Idem pour moi, trop casse-noisette à maintenir en service mon NAS home-made, et surtout trop gourmand en énergie et en volume occupé, en plus d’être bruyant.

Depuis que j’ai acheté mes Syno je n’ai plus de place perdue, j’ai réduit de 20% ma facture EDF et le silence est de retour <img data-src=" />







J’avoue ne pas comprendre vos arguments.



(1) Consommation : Vous dites qu’un Nas homemade consommerait forcément plus. Pourquoi pensez vous cela ? Si vous récupérez une vieille carte mère Pentium 4, c’est évident. Mais pas si vous achetez une carte mère récente à base d’Atom ou de Celeron : et vous pourrez encore gagner en consommation en les sous voltant. Que pensez vous qu’on trouve dans un Nas tout fait ?



(2) Récupération de matériel : Rien ne vous y oblige. Le matériel neuf, c’est bien aussi et ça consomme moins. Et pour le prix d’un NAS du commerce, il y a de quoi faire. Mais il peut être interessant également de récupérer un boitier ou une bonne alim.



(3) Maintenance : Faire votre propre nas avec des pièces standard apporte l’avantage évident de pouvoir vous procurer des pièces détachées très simplement et surtout très rapidement. C’est la raison majeure qui m’a fait adopter ce type de solution.



(4) Temps de montage : Soyons sérieux, ce type de machine ne demande pas plus de quelques minutes à assembler. Une fois cela fait, je n’y consacre plus aucun temps pendant des années. Certains considèrent que le fait de ne pas “bricoler” serait un avantage. Sauf que faire soi même augmente énormément la maitrise que l’on a sur un produit, ce qui se traduit par un avantage évident et majeur.



(5) Espace occupé. C’est le seul point ou il semble difficile de faire aussi bien que les produits du commerce. Mais est ce réellement important ? Comparez le volume d’un petit boitier de PC à celui d’une pièce. Et cela d’autant plus que l’appareil n’a pas besoin d’être à côté de votre machine. Sans compter que espace est synonyme de bonne ventilation.



(6) Bruit : Aucune raison que votre nas homemade fasse plus de bruit qu’un produit du commerce si vous règlez correctement la vitesse de vos ventilos. Souvent, les disques durs sont bien plus bruyants que les ventilos.



(7) Services : Une bonne distribution Linux offre une pléthore de services possibles. Vous me rétorquerez qu’il faut savoir les installer. En réalité, c’est assez simple et on trouve tous les tutos nécessaires. L’avantage, c’est qu’après vous maîtriserez, ce qui sera très utile en cas de problème. L’autre avantage, c’est que vous retrouverez toujours les mêmes services(qui se configureront toujours de la même façon) même si vous changez de marque de matos.



(8) Sécurité : Les bonnes distro Linux sont patchées quotidiennement. Et une simple commande suffit à le faire. Elle peut même être automatisée.


votre avatar







Tim-timmy a écrit :



On dirait que la MAJ synology a été retirée, je ne la vois pas dans les fichiers dispos en téléchargement, alors que le changelog est là (et il me dit que l’update 1 est la dernière à jour quand je passe par l’interface)… Et des posts sur le forum suggèrent qu’ils étaient encore vulnérables après la MAJ (version f de openssl, la g corrige la faille il me semble) .. je table sur un fix du fix rapidement



edit: quoique “Ok i got the update (automatically now) , tested the exploit and it no longer exists.” mais bon, ça explique pas vraimenthttp://global.download.synology.com/download/DSM/5.0/4458/ qui affiche toujours des “vieux” fichiers







Maj installée ce matin sur un DS414, DSM 5.0-4458 Update 2, aucun problème d’installation, la faille est bien corrigée.



Maj non proposée (testé au même moment que la maj du DS414, et à l’instant) sur un DS413, DSM 5.0-4458 Update 1, faille présente.





votre avatar







Commentaire_supprime a écrit :



Pour l’instant, mon NAS est protégé par la box qui a planté et bloque tout accès au net.



Putain, vivement que je rentre chez moi pour rebooter cette merde !







Et voilà, on te donne de la sécurité et tu te plaints !

C’est pas possible ça ! <img data-src=" />



<img data-src=" />



Sinon pour moins cher qu’un mode/routeur fibre, tu dresses un chat ou un chien pour qu’il reboot ta box quand elle plante.


votre avatar

reçu la mise à jour Synology ce matin. Bonne nouvelle <img data-src=" />

(213J)

votre avatar







JohnBidule a écrit :



Il y en a qui ont la mémoire courte avec le bug de l’an 2000…

En l’occurrence, sans un violent rappel (pour les managers et autres décideurs), les conséquences déjà en 2000 auraient été belles.

J’ai carrément pu me mettre à mon compte en 1999, du boulot pour recoder et tester il y en a eu.



Et, il me semble qu’en 2014, la dépendance, respectivement les conséquences pourraient être autrement plus violentes.



Rendez-vous en 2038, je me réjouis d’avance <img data-src=" />





C’est sur que tout les OS x86 vont faire la gueule ^^


votre avatar

Sophos a déployé sa mise à jour hier en fin d’après-midi pour ses UTM. <img data-src=" />

votre avatar







atomusk a écrit :



reçu la mise à jour Synology ce matin. Bonne nouvelle <img data-src=" />

(213J)







Mise à jour pour le 414 aussi, mais rien sur le 413 pour l’instant.


votre avatar







m1k4 a écrit :



Pour ce qui est des packages ipkg qui utilisent openssl sur Synology ca devrait être OK :



Par contre pour celui de base effectivement il est en 1.0.1f…



Alors qu’il se trimballait tranquillement son uptime d’environ 500 jours, mon syno n’aura jamais autant redémarré que ces dernières semaines…







Effectivement, j’ai confirmé hier (en testant avec l’outil en GO mis en ligne) sur l’autre post que la faille existe bel et bien en DSM 4.2


votre avatar







neves a écrit :



Mise à jour pour le 414 aussi, mais rien sur le 413 pour l’instant.







Bonjour, ça n’a pas trop de valeur si tu ne précises pas la version de ton DSM. <img data-src=" />


votre avatar

La faille de marche pas sur mon nas Netgear Ultra <img data-src=" />



Faut dire qu’il tourne sur Debian Etch <img data-src=" />

votre avatar







Bylon a écrit :



Bonjour, ça n’a pas trop de valeur si tu ne précises pas la version de ton DSM. <img data-src=" />







Bah en étant logique, la 5, sinon si j’étais en 4.3 le DSM m’aurait proposé une maj vers la 5 (413 et 414 ne sont pas bloqué en 4.x) :)


votre avatar







Commentaire_supprime a écrit :



Eh oui… Livebox plaie amputée de sa partie TV qui est retournée dans son carton…



Le machin bien conçu par le fruit, le techno que j’ai eu au bout du fil a été incapable de la rebooter depuis son poste. C’est sacrément bien conçu cet engin…



J’aurais 200 € là tout de suite, j’y collerais un routeur compatible fibre à la place. Manque de bol, j’aurais pas cette somme de libre avant l’année prochaine…



tu devrais essayer les bas résille et les talons, parait que ca marche bien quand tu marches sur les trottoirs <img data-src=" />


votre avatar







neves a écrit :



Bah en étant logique, la 5, sinon si j’étais en 4.3 le DSM m’aurait proposé une maj vers la 5 (413 et 414 ne sont pas bloqué en 4.x) :)







Ce que tu dis est tout sauf logique !



Lis bien la news, elle indique clairement que Syno va également proposer des MàJ de la 4.2 et la 4.3



Personnellement j’ai un 413j qui supporte parfaitement la 5.0 mais aucune intention d’y passer puisque je me fiche royalement des “améliorations” de la 5.0

Exemple Chromecast, strictement rien à faire, je n’ai même pas de télé !



De plus j’ai fait pas mal de modifications personnelles de certaines piles comme OpenVPN, pas envie de les voir écrasées et devoir les réappliquer à une autre version.



J’attends donc bien une MàJ de la 4.2 … info que j’aurais aimé voir confirmée par ton post, mais c’est tant pis si tu ne souhaites pas le préciser, je vérifierai par moi-même !


votre avatar

Excusez mon ignorance, mais en quoi un routeur peut-il être impacté par cette faille openSSL.

Autant un site web (donc serveur associé), je vois comment. Mais pour le routeur je comprends moins le lien de cause à effet.

Quelqu’un pour m’éclairer ?

votre avatar







Bylon a écrit :



Ce que tu dis est tout sauf logique !



Lis bien la news, elle indique clairement que Syno va également proposer des MàJ de la 4.2 et la 4.3



Personnellement j’ai un 413j qui supporte parfaitement la 5.0 mais aucune intention d’y passer puisque je me fiche royalement des “améliorations” de la 5.0

Exemple Chromecast, strictement rien à faire, je n’ai même pas de télé !



De plus j’ai fait pas mal de modifications personnelles de certaines piles comme OpenVPN, pas envie de les voir écrasées et devoir les réappliquer à une autre version.



J’attends donc bien une MàJ de la 4.2 … info que j’aurais aimé voir confirmée par ton post







Le DSM 5 ne fait pas qu’ajouter des fonctionnalités qui ne te servent pas, elle met à jour l’intégralité des composants système. Tu peux très bien mettre à jour en 5 et désactiver toutes les options qui te semble inutiles dans ton cas. Et tu as un support plus rapide en prime. D’ailleurs la derniere injection SQL sur les DSM ne concernait pas DSM 5 mais DSM &lt;= 4.3-3827.



Je sais bien que les maj pour 4.x seront poussées, je disais “logique” dans le sens où pour moi c’est logique d’être à jour sur un logiciel qu’on utilise, c’est tout. Et donc qu’en étant en 4.x, sur un DS413 ou DS414, le système nous propose de mettre à jour vers la 5 si on est en 4.







Bylon a écrit :



mais c’est tant pis si tu ne souhaites pas le préciser, je vérifierai par moi-même !







Je t’ai justement précisé dans mon post que j’étais en 5 (“la 5”), qu’est ce que tu veux de plus, un screenshot ? Faut se calmer un peu hein.



votre avatar







Chloroplaste a écrit :



Excusez mon ignorance, mais en quoi un routeur peut-il être impacté par cette faille openSSL.

Autant un site web (donc serveur associé), je vois comment. Mais pour le routeur je comprends moins le lien de cause à effet.

Quelqu’un pour m’éclairer ?







On parle ici de l’interface Web d’administration du routeur, qui peut dévoiler le mot de passe d’administration du routeur (ou un cookie de session) si un admin s’y est connecté et que la faille est présente.


votre avatar

Mes deux Syno (DSM5) ont reçu une mise à jour ce matin qui corrige ce bug



DSM 5.0-4458 update 2

votre avatar







Chloroplaste a écrit :



Ma copine utilise Aol mail qui est toujours vulnérable à l’heure actuelle. Toutefois, elle se connecte toujours via le même PC sans avoir besoin de remettre ses identifiants.

Est-elle tout de même concernée ?





oui







sr17 a écrit :



Par mesure de sécurité, change de copine. <img data-src=" />





sauf si elle a de gros seins, faut pas pousser quand même.


votre avatar

Est ce que l’état de “catastrophe humaine informatique” est reconnu par les assurances??? <img data-src=" />



Non parceque je suis sur qu’on va voir sortir des chiffres de dommage dans pas longtemps

votre avatar

On nous refait le coup du bug de l’an 2000.

Avec une faille… qui n’a jamais été exploitée.

votre avatar







Optrolight a écrit :



Est ce que l’état de “catastrophe humaine informatique” est reconnu par les assurances??? <img data-src=" />



Non parceque je suis sur qu’on va voir sortir des chiffres de dommage dans pas longtemps







Quand on vous dit que l’open-source, ca a un coût ! <img data-src=" />


votre avatar







Yzokras a écrit :



On nous refait le coup du bug de l’an 2000.

Avec une faille… qui n’a jamais été exploitée.







C’est pas parce qu’on ne le sait pas que ce n’est pas le cas !


votre avatar

Pour ce qui est des packages ipkg qui utilisent openssl sur Synology ca devrait être OK :



&gt; which openssl

/opt/bin/openssl

&gt; openssl version

OpenSSL 0.9.8v 19 Apr 2012



Par contre pour celui de base effectivement il est en 1.0.1f…



Alors qu’il se trimballait tranquillement son uptime d’environ 500 jours, mon syno n’aura jamais autant redémarré que ces dernières semaines…

votre avatar







Yzokras a écrit :



On nous refait le coup du bug de l’an 2000.

Avec une faille… qui n’a jamais été exploitée.





c’est un bon exercice d’entrainement, et une piqûre de rappel pour les gens concernés (administrateurs, fabriquant).

Car on n’est pas à l’abris un jour de la découverte d’une vraie faille facilement exploitable, ce jour là il faudra réagir vite !


votre avatar

Est-ce que openvpn peut être également touché?

votre avatar

Pour l’instant, mon NAS est protégé par la box qui a planté et bloque tout accès au net.



Putain, vivement que je rentre chez moi pour rebooter cette merde !

votre avatar







Yzokras a écrit :



On nous refait le coup du bug de l’an 2000.

Avec une faille… qui n’a jamais été exploitée.













sylvere a écrit :



c’est un bon exercice d’entrainement, et une piqûre de rappel pour les gens concernés (administrateurs, fabriquant).

Car on n’est pas à l’abris un jour de la découverte d’une vraie faille facilement exploitable, ce jour là il faudra réagir vite !









Vous ne la trouvez pas suffisament facilement exploitable ? Il y’a qu’a voir les screenshots du service d’authentification de chez yahoo pour se rendre compte du soucis. Il vous faut quoi ?



J’ai essayé sur mon syno et effectivement j’ai de l’info. PAs eu de mot de passe ou de session mais j’ai eu une liste des fichiers que j’ai manipuler la veille


votre avatar

Pour les entreprises qui utilisent Kerio Connect, une mise à jour est sortie <img data-src=" />

votre avatar

Non seulement la faille est exploitable, mais son exploitation ne laisse pas de trace. Ne pas considérer qu’il y a urgence, comme le fait par exemple Darty parmi plus de 600K sites webs détectés comme toujours vulnérables, c’est de l’inconscience.

votre avatar

Je viens d’apprendre par le service informatique de ma société que l’application servant à transférer du terrain vers le siège les données brutes de mécanique des sols pour calcul était affectée par cette faille.



L’entreprise qui a développé le logiciel sur mesure pour nous est en train de faire les derniers tests avec la nouvelle version d’OpenSSL pour validation. Nous aurons au plus tôt une mise à jour lundi qui vient.



Bon, ça va, je n’ai pas de données de mécanique des sols à transmettre au siège de là où je suis. Par contre, les collègues sur d’autres chantiers, ils vont devoir revoir leur planning…

votre avatar







chien a écrit :



Est-ce que openvpn peut être également touché?









Ca doit dépendre de la version openSSL utilisé par openVPN. Un collègue a essayé avec l’openVPN du synology pas réussi à exploiter la faille.



Sur mon syno j’ai fait les tests avec le SSL du DSM et j’ai réussi à exploiter la faille. Les deux ne doivent pas utilisé la même version ( nous sommes sur la même version du DSM)


votre avatar







Yzokras a écrit :



On nous refait le coup du bug de l’an 2000.

Avec une faille… qui n’a jamais été exploitée.





Il y en a qui ont la mémoire courte avec le bug de l’an 2000…

En l’occurrence, sans un violent rappel (pour les managers et autres décideurs), les conséquences déjà en 2000 auraient été belles.

J’ai carrément pu me mettre à mon compte en 1999, du boulot pour recoder et tester il y en a eu.



Et, il me semble qu’en 2014, la dépendance, respectivement les conséquences pourraient être autrement plus violentes.



Rendez-vous en 2038, je me réjouis d’avance <img data-src=" />


votre avatar

Ma copine utilise Aol mail qui est toujours vulnérable à l’heure actuelle. Toutefois, elle se connecte toujours via le même PC sans avoir besoin de remettre ses identifiants.

Est-elle tout de même concernée ?

votre avatar







Chloroplaste a écrit :



Ma copine utilise Aol mail qui est toujours vulnérable à l’heure actuelle. Toutefois, elle se connecte toujours via le même PC sans avoir besoin de remettre ses identifiants.

Est-elle tout de même concernée ?





Oui, le problème vient du serveur lui-même, et pas du PC client.

Si elle n’a pas besoin de renvoyer ses identifiants à chaque fois alors le risque est plus du côté du vol du cookie de session, ce qui est probablement moins grave.

Mais bon, par mesure de sécurité, une fois qu’AOL.com sera patché, il sera plus sûr de changer de mot de passe.


votre avatar







m1k4 a écrit :



Pour ce qui est des packages ipkg qui utilisent openssl sur Synology ca devrait être OK :



Par contre pour celui de base effectivement il est en 1.0.1f…



Alors qu’il se trimballait tranquillement son uptime d’environ 500 jours, mon syno n’aura jamais autant redémarré que ces dernières semaines…







Y’a besoin de rebooter pour mettre à jour openssl ?



En tout cas sur mes deux serveurs j’ai juste relancé les services qui utilisent openssl.


votre avatar







Chloroplaste a écrit :



Ma copine utilise Aol mail qui est toujours vulnérable à l’heure actuelle. Toutefois, elle se connecte toujours via le même PC sans avoir besoin de remettre ses identifiants.

Est-elle tout de même concernée ?







Par mesure de sécurité, change de copine. <img data-src=" />


votre avatar







Commentaire_supprime a écrit :



Pour l’instant, mon NAS est protégé par la box qui a planté et bloque tout accès au net.



Putain, vivement que je rentre chez moi pour rebooter cette merde !





<img data-src=" /> c’est donc toi ! Orange?


votre avatar







sr17 a écrit :



Par mesure de sécurité, change de copine. <img data-src=" />





<img data-src=" /> une mise à jour de sécurité doit suffire (bon par contre le port de debug/com, faut chercher). <img data-src=" />


votre avatar



Les NAS sont également touchés, les fabricants planchent sur une mise à jour





Moi je n’ai eu qu’une commande à taper pour mettre le mien à jour.



C’est tout l’avantage de construire son propre Nas et de l’équiper avec un Linux standard.



Et ce n’est ni compliqué, ni cher : Il n’y a que des avantages.


votre avatar







linkin623 a écrit :



<img data-src=" /> c’est donc toi ! Orange?







Eh oui… Livebox plaie amputée de sa partie TV qui est retournée dans son carton…



Le machin bien conçu par le fruit, le techno que j’ai eu au bout du fil a été incapable de la rebooter depuis son poste. C’est sacrément bien conçu cet engin…



J’aurais 200 € là tout de suite, j’y collerais un routeur compatible fibre à la place. Manque de bol, j’aurais pas cette somme de libre avant l’année prochaine…


votre avatar







Chloroplaste a écrit :



Ma copine utilise Aol mail qui est toujours vulnérable à l’heure actuelle. Toutefois, elle se connecte toujours via le même PC sans avoir besoin de remettre ses identifiants.

Est-elle tout de même concernée ?





Normalement oui puisque ton pc transmet tout de même les informations du cookie.


votre avatar

Pour ceux qui ont un routeur Asus type N66/A66 -&gt; pas de soucis, la version de OpenSSL utilisée est safe, y compris les build Merlin.

votre avatar







Commentaire_supprime a écrit :



Eh oui… Livebox plaie amputée de sa partie TV qui est retournée dans son carton…



Le machin bien conçu par le fruit, le techno que j’ai eu au bout du fil a été incapable de la rebooter depuis son poste. C’est sacrément bien conçu cet engin…



J’aurais 200 € là tout de suite, j’y collerais un routeur compatible fibre à la place. Manque de bol, j’aurais pas cette somme de libre avant l’année prochaine…





Bah au moins tu sais que Orange ne rebootera pas ta box sans ta présence (point Snowden).

Blague à part, ça coûte 200€ un routeur/modem fibre!?!


votre avatar







linkin623 a écrit :



Bah au moins tu sais que Orange ne rebootera pas ta box sans ta présence (point Snowden).

Blague à part, ça coûte 200€ un routeur/modem fibre!?!







Pas 200 € l’engin tout rond, mais c’est un ordre de grandeur.



Avec la fibre Orange, il te faut un engin avec à la fois un port EWAN et une gestion des sous-réseaux suivant la norme 802.11Q. Et ça court pas les rues.



À ce jour, je n’ai vu que ce modèle-ci grâce à EDtech, qui a étudié la question avant moi.



En comptant £138 d’engin plus £15 de port, ça fait £153, soit un peu moins de 186 € tout compris.



Et je n’ai encore rien vu de moins cher, ou de payable en trois fois sans frais…


votre avatar







zefling a écrit :



Personne sais quand Ubuntu va faire la mise à jour pour les LTS ? Je vais finir par le faire même si je ne vois rien arriver.





c’est à jour.

Que donne la commande “openssl version -b” ?


votre avatar







_fefe_ a écrit :



c’est à jour.

Que donne la commande “openssl version -b” ?







En effet, c’est à jour maintenant, j’ai redémarré Apache et c’est bon.



Bon, il faut que je vois comment révoquer les clefs.


votre avatar

Maj sur le DS413 OK, DSM 5.0-4458 Update 2, faille bien corrigée.

votre avatar

ok ici aussi, ils ont du étaler selon les modèles

votre avatar

juste pour certitude, si le syno n’est pas ouvert sur l’extérieur, aucun risque ?

votre avatar







atomusk a écrit :



Quel modèle de syno ne boot plus ? ton DS112j qui a perdu la conf ou tu as essayé l’autre ?







Le DS112j, et impossible de réinstaller par le logiciel SynologyAssistant, sur le 413 je n’ai rien touché.



La prochaine fois j’attendrais les retours avant de faire une maj^^


votre avatar







n1kod a écrit :



juste pour certitude, si le syno n’est pas ouvert sur l’extérieur, aucun risque ?





Aucun (hors un hack de ton PC qui donnerai acces à ton SYNO … mais je pense que ça sera le cadet de tes souci dans ce cas là :p)


votre avatar

en effet :) merci c est ce que je pensais mais bon..

votre avatar









lateo a écrit :



sauf si elle a de gros seins, faut pas pousser quand même.







Si en plus elle est asiatique et met des oreilles de chat, ne fais même plus les mises à jour, t’as la version parfaite <img data-src=" />


votre avatar







Yzokras a écrit :



On nous refait le coup du bug de l’an 2000.

Avec une faille… qui n’a jamais été exploitée.







Ouh le beau troll



Elle est exploitable en 60 lignes de code en python …

Facile a exploité et déja exploité …



Mon pot a miel a tout plein de tentative depuis que cela a été révélé…


votre avatar

Mise à jour en cours sur un DS 412+ si ça intéresse quelqu’un.



Je ne l’ai pas eue plus tôt parce que ma box avait planté et que je viens à peine de rentrer de vacances.

votre avatar







TheStig a écrit :



Si en plus elle est asiatique et met des oreilles de chat, ne fais même plus les mises à jour, t’as la version parfaite <img data-src=" />





Oh tu sais, moi la couleur de la carrosserie…

Côté carrosserie tout ce qui m’importe c’est le profil aérodynamique, et de sérieux pare-chocs avant et arrière <img data-src=" />


votre avatar







sr17 a écrit :



J’avoue ne pas comprendre vos arguments.



(1) Consommation : Vous dites qu’un Nas homemade consommerait forcément plus. Pourquoi pensez vous cela ? Si vous récupérez une vieille carte mère Pentium 4, c’est évident. Mais pas si vous achetez une carte mère récente à base d’Atom ou de Celeron : et vous pourrez encore gagner en consommation en les sous voltant. Que pensez vous qu’on trouve dans un Nas tout fait ?





Des CPUs ARM ? <img data-src=" />


votre avatar

Mise à jour du fw des Netgear readynas OS6 aujourd’hui en version 6.1.7, parmi les changements le bouchage de la faille Heartbleed <img data-src=" />



source

votre avatar







xillibit a écrit :



Des CPUs ARM ? <img data-src=" />







C’est pas non plus la même puissance.


votre avatar







DownThemAll a écrit :



Mise à jour du fw des Netgear readynas OS6 aujourd’hui en version 6.1.7, parmi les changements le bouchage de la faille Heartbleed <img data-src=" />



source







il “semblerait” que que ça ne soit pas fini <img data-src=" />



la correction cacherait une nouvelle faille… <img data-src=" />



la faille serait donc selon l’auteur “délibérée<img data-src=" /> <img data-src=" />



le feuilleton continue.

quelqu’un peut me fournir du popcorn ?









[MàJ] Heartbleed : QNAP publie la mise à jour pour ses NAS

  • Les NAS sont également touchés, la mise à jour du DSM 5.0 de Synology est en ligne

  • L'OS de Thecus n'est pas touché, ce qui n'est pas forcément le cas des modules

  • Le protocole Bitcoin passe en version 0.9.1 pour corriger la faille 

Fermer