Synology – DSM 7.0 : plusieurs failles corrigées dont la faille OpenSSL
Synology a publié une nouvelle mise à jour pour son système DSM qui équipe ses NAS, mais aussi pour d'autres produits comme VPN Plus Server. Cette mise à jour pour DSM 7.0 corrige les vulnérabilités dans OpenSSL dévoilée fin août 2021.
Comme convenu, Synology a patché son système DSM 7.0 pour corriger plusieurs vulnérabilités dans OpenSSL (CVE-2021-3711 et CVE-2021-3712), un composant très utilisé. Le fabricant de NAS avait précisé sur son site que ces vulnérabilités pouvaient permettre aux attaquants à distance d'effectuer un déni de service ou une exécution de code à distance sur certaines versions de DSM (système pour NAS), SRM (système pour les routeurs), VPN Plus Server ou VPN Server.
Au niveau des NAS, vous allez devoir passer sur DSM 7.0.1-42218 (au minimum) pour vous protéger. Pour DSM 6.2, Synology semble orienter ces utilisateurs vers la version DSM 7.0.1-42218, ce qui impliquera d'effectuer une mise à jour majeure de son système. Pour le moment, la mise à jour n'est pas disponible pour SRM, le système qui équipe les routeurs Synology.
Sans donner plus de précisions, Synology a également corrigé d'autres failles de sécurité avec une sévérité modérée au sein de DSM. Ces vulnérabilités permettent à un utilisateur local d'exécuter des commandes arbitraires sur une version vulnérable de DSM. La version à installer est DSM 7.0.1-42214 (au minimum), donc si vous mettez à jour vers la version DSM 7.0.1-42218, c'est tout bon !
Voici les liens vers les deux bulletins de sécurité de Synology :
La semaine dernière, je vous parlais des dernières mises à jour de sécurité publiées par QNAP afin de corriger des vulnérabilités au sein de Photo Station, Image2PDF et QVR IP.
