MS_Totor Posté(e) le 9 avril 2014 Partager Posté(e) le 9 avril 2014 (modifié) Hello word ! on en parle officielement depuis le 07/04/2014...... de son doux nom, Heartbleed cette faille n' impacterai que les versions 1.0.1 de 1.0.1 e à f et la bêta 1.0.1 _1 à _3 de openssl selon ce que j'en ai lu https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160 en francais .. http://www.zdnet.fr/actualites/heartbleed-faille-critique-pour-openssl-correctifs-en-route-39799629.htm un lien pour tester vos sites en lignes http://filippo.io/Heartbleed/ pensez à patcher si vous etes concerné... patch dispo pour debian car cela touche openssl par mécanisme openssh, protocole SSL et TLS , mail etc.... mef ! Je ne connais pas l'impact sur les paquets synology officiel 5.0 je suis en DSM 4.3 voili voilà Totor Modifié le 9 avril 2014 par MS_Totor 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
clems Posté(e) le 10 avril 2014 Partager Posté(e) le 10 avril 2014 Bonjour, Alors sur le DSM 5.0 la version Openssl est affecté et aucune info de quand une mise à jour sera dispo... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Bidibulo Posté(e) le 10 avril 2014 Partager Posté(e) le 10 avril 2014 Je suis sur DSM 4.2-3202 et le site http://filippo.io/Heartbleed qui permet de tester sa vulnérabilité est dans le rouge ! le DSM 4.3 serait donc vulnérable, logique tant qu'il n'est pas patché. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Vinky Posté(e) le 10 avril 2014 Partager Posté(e) le 10 avril 2014 Bonjour, Alors sur le DSM 5.0 la version Openssl est affecté et aucune info de quand une mise à jour sera dispo... L'update 2 a est sorti hier et résout le souci 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
clems Posté(e) le 10 avril 2014 Partager Posté(e) le 10 avril 2014 Oui j'ai mis à jour ce matin 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CMDC Posté(e) le 10 avril 2014 Partager Posté(e) le 10 avril 2014 En attente ardente de l'update 2 pour DSM 4.3 qui corrigera, du moins je l'espère, cette enorme faille de sécurité Pour l'instant j'ai désactivé le port 443 au niveau du firewall ... vraiment crade comme solution 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
MS_Totor Posté(e) le 10 avril 2014 Auteur Partager Posté(e) le 10 avril 2014 non ce n'est pas crade, bien au contraire, bloquer des protocoles compromis plutot que les applis c'est une reaction normale ! ensuite on se mets au courant rapido de l'impact et de la difusion d'un patch ce qui est crade c'est de diffuser sur le net "général" une faille sans correctif, le lamer baveux, en bave..... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CMDC Posté(e) le 10 avril 2014 Partager Posté(e) le 10 avril 2014 (modifié) Absolument et crois-moi que nous sommes nombreux à attendre ce patch. (du moins a l'internationnal) Ayant plusieurs NAS SYNO à gérer je ne peux, pour l'instant monter en version 5.0 qui est, elle au moins corrigée, donc je suis obligé d'attendre le bon vouloir de SYNO dont la responsabilité est clairement engagée! D'ailleurs, à ce sujet, je me demande comment un thread si important peux rester dans la catégorie du bar ... Moi, si j'étais modo ... Modifié le 10 avril 2014 par CMDC 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CMDC Posté(e) le 12 avril 2014 Partager Posté(e) le 12 avril 2014 Chers utilisateurs de Synology, Une faille critique touchant la plupart des sites Internet dans la librairie logicielle Open SSL, connue sous le nom de Bug Heartbleed, était aussi présente sur MyDS Center et DSM. Cependant, Synology a comblé la faille sur tous les serveurs MyDS Center et DSM 5.0. Nous aimerions vous communiquer les informations suivantes : Tous les serveurs MyDS Center ont été mis à jour et sont sûrs. Nous n'avons pas remarqué d'accès non autorisé aux données utilisateurs durant la période de vulnérabilité, mais nous recommandons à tous nos clients de changer de mot de passe MyDS, à titre de précaution. DSM 5.0-4458 Update 2 est sortie le 10 Avril. Tous les utilisateurs de DSM 5.0 et DS. 4.3 sont encouragés à suivre les instructions sur la page dédiée à la sécurité chez Synology. Nous travaillons actuellement sur une mise à jour pour DSM 4.2 et DSM 4.3. La mise à jour pour DSM 4.2 sera disponible dans une semaine. Pour les utilisateurs qui préfèrent DSM 4.3, la mise à jour sera disponible fin avril. Pour les utilisateurs de DSM 4.1, il est conseillé de mettre à jour votre système vers DSM 4.2 Les versions DSM 4.0 et précédentes ne sont pas affectées. Synology prend très au sérieux la sécurité de ses logiciels et de vos données. Nous demeurons ouverts et transparents. En cas de questions ou inquiétudes, vous pouvez nous contacter à security@synology.com. Merci Très cordialement, L'équipe de développement de Synology 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
bud77 Posté(e) le 12 avril 2014 Partager Posté(e) le 12 avril 2014 Ah, c'est cool, je suis encore en 4.2, et je serais pas forcé de passer en 5.0 pour avoir le patch ! 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CMDC Posté(e) le 13 avril 2014 Partager Posté(e) le 13 avril 2014 Ouaip et moi en 4.3 ! Va falloir être encore plus patient 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fravadona Posté(e) le 13 avril 2014 Partager Posté(e) le 13 avril 2014 Ce n'est pas non plus comme si un hackeur pouvais tirer grand chose de nos Synos avec cette faille. D'apres ce que j'ai compris elle permettrait de voler la cle privee d'un serveur lors d'une connexion SSL; cela ouvre la possibilite d'attaques de type man-in-the-middle (critiques pour un site bancaire ou de defence nationale mais pour le syno d'un particulier ??? ) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
bud77 Posté(e) le 13 avril 2014 Partager Posté(e) le 13 avril 2014 Ce n'est pas non plus comme si un hackeur pouvais tirer grand chose de nos Synos avec cette faille. D'apres ce que j'ai compris elle permettrait de voler la cle privee d'un serveur lors d'une connexion SSL; cela ouvre la possibilite d'attaques de type man-in-the-middle (critiques pour un site bancaire ou de defence nationale mais pour le syno d'un particulier ??? ) Non, ca va bien au dela de çà, n'importe qui peux voir tout le trafic d'un site sécurisé, y compris les login/mdp 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
oliviervdb Posté(e) le 15 avril 2014 Partager Posté(e) le 15 avril 2014 Hello, Et donc si on a été attaqué, et que cette attaque ne laisse aucune trace, on ne sait pas si ses clefs privés ont été volées. Donc faudrait par defaut les regénérer une fois le patch installer. Puis chnager ses PassWord d'acces. Et comment on fait ca??? (je veux dire pour regenerer des clefs privés?) Merci. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
MS_Totor Posté(e) le 15 avril 2014 Auteur Partager Posté(e) le 15 avril 2014 (modifié) ce qui craint ce sont les BOT à la recherche de sites vulnerables, et le nombre de syno exposés, webmail, web, ssh, sans parler des sites persos bricolés, là c'est openbar via l'auto hebergement qui est redevenu fort à la mode.. le trafic sur le web est éloquant oui le patch puis changer les clés et login/pass c'est bien, si tu pense avoir été exposé, pour le comment faire, il vaut mieux poser ta question sur une section plus dédiée de ce forum Modifié le 15 avril 2014 par MS_Totor 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
ledomien2 Posté(e) le 16 avril 2014 Partager Posté(e) le 16 avril 2014 (modifié) bonjour à tous, suite à vos message je suis devenu completement parano, j'ai changé mon mot de passe myds center chez synology et j'ai refait la mise à jour vers dsm5.0. Faite attention aux faux email d'entretien d'embauche aussi qui circule, je suis sure qu'il ya beaucoup de données personnel de gens dans la nature à bientot tout le monde. Modifié le 16 avril 2014 par ledomien2 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
DaffY Posté(e) le 16 avril 2014 Partager Posté(e) le 16 avril 2014 Heu... Les journaux log sur nos syno permettent de savoir qui se connectent et a quelle heure.. Donc sauf 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
MS_Totor Posté(e) le 29 avril 2014 Auteur Partager Posté(e) le 29 avril 2014 pour ceux qui sont en 4.3, et qui n'y aurrait pas fait attention patch déployé pour Heartbleed DSM 4.3-3827 Update 2 (2014/4/21) Compatibility and Installation DSM 4.3-3827 Update 2 can only be installed on Synology products running DSM 4.3-3827 via DSM Update. Please log in to DSM, go to Control Panel > DSM Update, click Update Settings and select Important Updates Only to see and install the update. Change Log Fixed a critical security issue of OpenSSL (Heartbleed) to prevent secret keys from being compromised. (CVE-2014-0160) Fixed an issue causing the homes shared folder to become inaccessible after being moved to another volume. Fixed an issue allowing the basic information of Synology NAS devices to be obtained outside of the local network without authentication. Fixed password recovery e-mail to include the correct port number even when launched in Application Portal with customized ports. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.