Bonsoir à tous,

Je viens de tomber sur la faille d'openSSL sur le blog de Korben.

http://korben.info/mettez-jour-openssl-urgent.html

Après avoir vérifié sur mon DS1511+ je suis en openSSL 1.0.1f-fips 6 Jan 2014 (donc vulnérable d'après Korben).

Je suis en 5.0-4458 update1

Voilà pour vous informer, et si quelqu'un a une procédure pour mettre à jour cette faille!

Bonne soirée à tous ;-)

Bonsoir,

idem, mes 2 syno (DS211J et DS414) en 5.0-4458 update 1 sont touchés.

Après un petit tour sur : http://filippo.io/Heartbleed/

la solution c'est de ne pas avoir la connection du syno meme directement sur internet car touché par la faille

moi, ma solution c'est reverse proxy dans le debian chroot et là openssl est à jour --> pas de problèmes

Bonjour,

A quel endroit du Syno peut on vérifier la version d'Openssl qui est installée ?

Thierry

Modifié le 9 avril 201411 a par Thierry94

Bonjour a tous!

@thierry94 tu ouvres un ssh et tu tapes "opensspl" entrer => puis "version" entrer

@Gaetan, pourrais-tu en expliquer d'avantage sur ton reverse proxy? Ca veut dire que ton nas n'est pas du tout relié dorectement a internet? Se qui serait super!

Bonne journee a tous

Bonjour,

après le test :

/usr/syno/bin/openssl version
OpenSSL 1.0.1f-fips 6 Jan 2014

/volume1/@optware/bin/openssl version
OpenSSL 0.9.8v 19 Apr 2012

donc à priori vulnérable, je ferme les ports en accès externe.

Quelqu'un a des nouvelles de la part de Synology sur cette faille?
Edit :

Thank you for contacting us.

The issue, CVE-2014-0160, you reported will be fixed in DSM5.0 hotfix release and it will be available soon.

Best Regards,
Yi-Lin Huang

Modifié le 9 avril 201411 a par olive069

Fix Heartbleed (CVE-2014-0160) par Synology pour tous les NAS :

1. Télécharger le fichier de l'update 4458 - 2 pour votre NAS : lien synology.com
2. Copier le sur le NAS et procéder à la MAJ en passant par le control panel
3. Après le reboot, vérifier que votre version de Openssl est la suivante : OpenSSL 1.0.1g-fips 7 Apr 2014

Vérifier votre serveur avec ce site : http://filippo.io/Heartbleed/

Modifié le 9 avril 201411 a par olive069

Est-ce que tu sais si il faut être en dernière version de DSM pour appliquer le patch ?. Mon 213+ (le 107+ n'est pas touché) est en 4.3 et je n'ai pas envie de le passer en 5...

Merci

David

Est-ce que tu sais si il faut être en dernière version de DSM pour appliquer le patch ?. Mon 213+ (le 107+ n'est pas touché) est en 4.3 et je n'ai pas envie de le passer en 5...

Merci

David

La MAJ est uniquement pour le DSM 5 (pour le moment?).

Donc si tu n'es pas touché par la faille, ne fais pas de MAJ. Sinon il faut voir avec des experts pour savoir si l'on peut compiler un openssl safe et upgrader ton NAS avec.

Modifié le 9 avril 201411 a par olive069

La MAJ est uniquement pour le DSM 5 (pour le moment?).

Donc si tu n'es pas touché par la faille, ne fais pas de MAJ. Sinon il faut voir avec des experts pour savoir si l'on peut compiler un openssl safe et upgrader ton NAS avec.

Très mauvaise idée.

Et puis bon, qui va vouloir hacker un particulier ? Et dans quel but ?

La meilleur des sécurité est de déléguer la sécurité à autre niveau de l'architecture réseau ou sur une bécanne dont tu maitrise les logiciels. Un Raspberry Pi avec HAProxy en reverse proxy et c'est réglé. Encore mieux : avec un VPN.

Le 213+ en 4.3 est touché, pas le 107+ qui doit être en 3.x. La question a été posée sur le forum officiel concernant la 4.3. wait & see.

Diaoul, tu as raison dans le fond, reste que cela apparait bcp plus complexe que ce que je fais actuellement (redirection de port sur la box vers les équipements IP, redirection de noms chez gandi pointant sur IP externe fixe : port de l'équipement à atteindre).

Certain qu'avec le temps j'y arriverais, mais il faut du temps.

Quand au vpn, si il faut que j'explique a toutes les madames Michu qui se connectent à mon photostation qu'il faut passer par un vpn, je ne suis pas arrivé .

A+

David

Très mauvaise idée.

Et puis bon, qui va vouloir hacker un particulier ? Et dans quel but ?

La meilleur des sécurité est de déléguer la sécurité à autre niveau de l'architecture réseau ou sur une bécanne dont tu maitrise les logiciels. Un Raspberry Pi avec HAProxy en reverse proxy et c'est réglé. Encore mieux : avec un VPN.

Je m'en doutais! Effectivement, peu de probabilités de se faire attaquer un NAS d'un particulier.

Faille résolue par l'update 2. Parfait. Merci synology pour la réactivité

Attention à la mise à jour 5.0-4458-s2, les DS112j ne redémarrent pas après la mise à jour :

http://forum.synology.com/enu/viewtopic.php?f=7&t=84286

voila pourquoi je stresse toujours lors d'un update

bon, j'ai eu de la chance, j'ai un 1511+

Update ok sur un DS414 et un DS211J

mise a jour effectuée sur un DS110j un DS213+ et un rs 814

pour l'instant ça roule mais je n'arrive plus a avoir la connexion cloudstation sur win7

peut etre que les serveurs de synology pour les quickconnect id sont trop sollicités cette après-midi?

ca me dit ID QUICKCONNECT non valide

Modifié le 10 avril 201411 a par bolcho