Une énorme faille de sécurité a été détectée et corrigée par les équipes de Synology, le fabricant de NAS (Network Attached Storage) situé à Taïwan. Il est vivement recommandé de mettre les utilitaires et le matériel à jour.
À vos MAJ, prêt, partez !
Une CVE pour avoir un peu de détail SVP ? Je ne vois pas de MAJ à installer sur SRM de mon coté.
Je ne trouve pas VPN Plus Server ni SRM (Synology Router Manager) sur mon NAS.
Ne serait-ce pas un paquet optionnel, dans ce cas qui concerne peu de gens?
Cela concerne les routeurs Synology
Si tu es en 1.3.1-9346 Update 3 c’est ok.
J’ai eu la mise a jour il y a 2-3 jours sur mon MR2200AC.
L’article ne précise qu’à l’avant dernier paragraphe que cela concerne les routeurs, et non pas les NAS comme le titre laissait flipper…
Merci à cluclu pour ce genre de tri dans les alertes ! MAJ effectuée…
Que je comprenne, ça concerne donc les routeurs Synology et non les NAS, c’est ça ?
Donc mon bon vieux DS213j n’est pas concerné.
Chez Synology, le soft est quand même basé sur un noyau Linux…
Leur logiciel DSM est nettement que chez leur concurrents, y compris pour la sécurité, mais c’est surtout pour le hardware qu’ils se foutent de la gueule du monde: les ports RJ45 10 Gb absents sur la plupart des modèles alors qu’ils mettent en avant la présence des caches SSD NVMe.
Les cartes-mères (d’origine SuperMicro) des modèles rack sont bien loin de se comparer à du DELL, mais leur logiciel est commode à utiliser en petite entreprise et évite le racket des licences Windows pour serveurs. Par contre, depuis un an ou deux, Synology prétend imposer ses propres disques durs au dessus de 4 To, alors que ce ne sont que des Hitachi rebadgés et vendus trois fois plus cher.
Il faut donc hacker le serveur pour mettre des Seagate Exos, par exemple.
Autre chose à éviter, ce sont tous les petits add-on logiciels propriétaires Synology comme justement le serveur VPN, le serveur de calendriers, le serveur de mails, il peut y avoir des changements radicaux sans préavis, avec des applications qui disparaissent ou le PHP qui, après être resté scotché sur une version 5 antique pendant des années, est mis à jour brusquement et fait planter d’autres applis. La virtualisation est laborieuse aussi, compte-tenu du hardware, il faut juste se contenter de quelques DSM virtuels bien commodes pour les modèles rack (si l’on a plusieurs sociétés qui partagent des locaux) mais ne pas virtualiser du Windows.
Pour les 1900AC pas upgradable sur la 1.3 de SRM mais pas encore en EOL, le support est maintenant partiel, c’est pas toujours clair pour ce bug. D’où ma question. J’ai pas vu passer de correctif sur la 1.2. Mais surtout est-ce que la faille ne concerne que le VPN Server ou le système en lui même. Le N° de CVE aurait pu m’éclairer à ce sujet.