Faille Ghost Et Nas Synology

[Thierry94]

Bonjour,

Nos NAS Synology sont ils concernés par la faille Ghost qui touche la bibliothèque glibc ?

Thierry

[gaetan.cambier]

voila les info :

DiskStation> /usr/lib64/libc.so.6
GNU C Library (crosstool-NG 1.18.0) stable release version 2.17, by Roland McGrath et al.
Copyright (C) 2012 Free Software Foundation, Inc.
This is free software; see the source for copying conditions.
There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A
PARTICULAR PURPOSE.
Compiled by GNU CC version 4.7.3 20130102 (prerelease).
Compiled on a Linux 3.2.37 system on 2013-08-15.
Available extensions:
        crypt add-on version 2.1 by Michael Glad and others
        Native POSIX Threads Library by Ulrich Drepper et al
        BIND-8.2.3-T5B
libc ABIs: UNIQUE IFUNC
For bug reporting instructions, please see:
<http://www.gnu.org/software/libc/bugs.html>.

si on se refere au cve : http://www.cvedetails.com/cve/CVE-2015-0235/

on va avoir droit à une update vu qu'il ont pas mis à jour depuis des lustres

[CoolRaoul]

Il n'y a pas raison de paniquer de trop. Cette faille est située dans le code des fonctions gethostbyname et gethostbyaddr qui ne sont pas compatibles IPV6.

Sachant que tous les services DSM sont compatibles IPV6 il est relativement peu probable que ces fonctions soit effectivement employées.

Mais le patch va très certainement arriver sous peu malgré tout.

[gaetan.cambier]

Je ne panniquais pas pour ma part.

J'avais même pas vérifier avant sue la question ne soit posée.

[Einsteinium]

Un topique que j'avais pas vue... J'avais mp rodo dans la mesure ou synology ne répond pas...

C'est pire sur d'autres modèles en version :

GNU C Library (EGLIBC) stable release version 2.15, by Roland McGrath et al.
Copyright (C) 2012 Free Software Foundation, Inc.
This is free software; see the source for copying conditions.
There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A
PARTICULAR PURPOSE.
Compiled by GNU CC version 4.6.4.
Compiled on a Linux 3.2.10 system on 2013-09-16.
Available extensions:
	crypt add-on version 2.1 by Michael Glad and others
	GNU Libidn by Simon Josefsson
	Native POSIX Threads Library by Ulrich Drepper et al
	Support for some architectures added on, not maintained in glibc core.
	BIND-8.2.3-T5B
libc ABIs: UNIQUE
For bug reporting instructions, please see:
<http://www.eglibc.org/issues/>.

Dans la mesure ou Ubuntu et debian sont touchés... Nous aussi.

NB : http://www.cyberciti.biz/faq/cve-2015-0235-patch-ghost-on-debian-ubuntu-fedora-centos-rhel-linux/#GHOSTVulnerabilityCheck

[CoolRaoul]

Permettez moi de le répéter de nouveau: faut savoir *relativiser*!

Je vous engage à lire le paragraphe "Mitigating factors" ici: http://www.openwall.com/lists/oss-security/2015/01/27/9

La faille serait potentiellement exploitable dans tout petit nombre de cas, le groupe qui la découverte à réussi a mettre en place un démonstrateur basé sur un serveur de mail (exim) pas universellement utilisé.

Le risque que les APIs incriminées soit utilisées par les outils et les packages natifs DSM est très faible (et inutile de sortir l'exemple de perl ou python, gethostbyname/gethostbyaddr bien que disponible via ces langages, ne seront invoquées qui si un script le fait explicitement) car non compatible IPV6:

"The gethostbyname*() functions are obsolete; with the advent of IPv6, recent applications use getaddrinfo() instead"

A lire aussi ce post de Qualys qui a découvrert la faille:

"Here is a list of potential targets that we investigated (they all callgethostbyname, one way or another), but to the best of our knowledge, the buffer overflow cannot be triggered in any of them:"

Modifié le 2 février 2015 par CoolRaoul

[gaetan.cambier]

toute facon, ca sera bientot reglé, l'update 2 va arrivé (le dossier est crée )

[CoolRaoul]

Confirmation: Faille Ghost : Synology prépare un correctif pour son DSM

Et comme je le subodorais:

"le fabricant indique que « l'impact de cette vulnérabilité est minime »"