Aller au contenu

Faille Critique Openssl Pour Info


MS_Totor

Messages recommandés

Hello word !

on en parle officielement depuis le 07/04/2014...... de son doux nom, Heartbleed cette faille n' impacterai que les versions 1.0.1 de 1.0.1 e à f et la bêta 1.0.1 _1 à _3 de openssl selon ce que j'en ai lu

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160

en francais ..

http://www.zdnet.fr/actualites/heartbleed-faille-critique-pour-openssl-correctifs-en-route-39799629.htm

un lien pour tester vos sites en lignes

http://filippo.io/Heartbleed/

pensez à patcher si vous etes concerné... patch dispo pour debian

car cela touche openssl par mécanisme openssh, protocole SSL et TLS , mail etc....

mef !

Je ne connais pas l'impact sur les paquets synology officiel 5.0 je suis en DSM 4.3

voili voilà

Totor

Modifié par MS_Totor
Lien vers le commentaire
Partager sur d’autres sites

non ce n'est pas crade, bien au contraire, bloquer des protocoles compromis plutot que les applis c'est une reaction normale !

ensuite on se mets au courant rapido de l'impact et de la difusion d'un patch :)

ce qui est crade c'est de diffuser sur le net "général" une faille sans correctif, le lamer baveux, en bave.....

Lien vers le commentaire
Partager sur d’autres sites

Absolument et crois-moi que nous sommes nombreux à attendre ce patch. (du moins a l'internationnal)

Ayant plusieurs NAS SYNO à gérer je ne peux, pour l'instant monter en version 5.0 qui est, elle au moins corrigée, donc je suis obligé d'attendre le bon vouloir de SYNO dont la responsabilité est clairement engagée!

D'ailleurs, à ce sujet, je me demande comment un thread si important peux rester dans la catégorie du bar ...

Moi, si j'étais modo ... :rolleyes:

Modifié par CMDC
Lien vers le commentaire
Partager sur d’autres sites

Chers utilisateurs de Synology,

Une faille critique touchant la plupart des sites Internet dans la librairie logicielle Open SSL, connue sous le nom de Bug Heartbleed, était aussi présente sur MyDS Center et DSM. Cependant, Synology a comblé la faille sur tous les serveurs MyDS Center et DSM 5.0. Nous aimerions vous communiquer les informations suivantes :

  • Tous les serveurs MyDS Center ont été mis à jour et sont sûrs. Nous n'avons pas remarqué d'accès non autorisé aux données utilisateurs durant la période de vulnérabilité, mais nous recommandons à tous nos clients de changer de mot de passe MyDS, à titre de précaution.
  • DSM 5.0-4458 Update 2 est sortie le 10 Avril. Tous les utilisateurs de DSM 5.0 et DS. 4.3 sont encouragés à suivre les instructions sur la page dédiée à la sécurité chez Synology.
  • Nous travaillons actuellement sur une mise à jour pour DSM 4.2 et DSM 4.3. La mise à jour pour DSM 4.2 sera disponible dans une semaine. Pour les utilisateurs qui préfèrent DSM 4.3, la mise à jour sera disponible fin avril.
  • Pour les utilisateurs de DSM 4.1, il est conseillé de mettre à jour votre système vers DSM 4.2
  • Les versions DSM 4.0 et précédentes ne sont pas affectées.

Synology prend très au sérieux la sécurité de ses logiciels et de vos données. Nous demeurons ouverts et transparents. En cas de questions ou inquiétudes, vous pouvez nous contacter à security@synology.com. Merci

Très cordialement,

L'équipe de développement de Synology

Lien vers le commentaire
Partager sur d’autres sites

Ce n'est pas non plus comme si un hackeur pouvais tirer grand chose de nos Synos avec cette faille. D'apres ce que j'ai compris elle permettrait de voler la cle privee d'un serveur lors d'une connexion SSL; cela ouvre la possibilite d'attaques de type man-in-the-middle (critiques pour un site bancaire ou de defence nationale mais pour le syno d'un particulier ??? )

Lien vers le commentaire
Partager sur d’autres sites

Ce n'est pas non plus comme si un hackeur pouvais tirer grand chose de nos Synos avec cette faille. D'apres ce que j'ai compris elle permettrait de voler la cle privee d'un serveur lors d'une connexion SSL; cela ouvre la possibilite d'attaques de type man-in-the-middle (critiques pour un site bancaire ou de defence nationale mais pour le syno d'un particulier ??? )

Non, ca va bien au dela de çà, n'importe qui peux voir tout le trafic d'un site sécurisé, y compris les login/mdp

Lien vers le commentaire
Partager sur d’autres sites

Hello,

Et donc si on a été attaqué, et que cette attaque ne laisse aucune trace, on ne sait pas si ses clefs privés ont été volées. Donc faudrait par defaut les regénérer une fois le patch installer. Puis chnager ses PassWord d'acces.

Et comment on fait ca??? (je veux dire pour regenerer des clefs privés?)

Merci.

Lien vers le commentaire
Partager sur d’autres sites

ce qui craint ce sont les BOT à la recherche de sites vulnerables, et le nombre de syno exposés, webmail, web, ssh, sans parler des sites persos bricolés, là c'est openbar via l'auto hebergement qui est redevenu fort à la mode..

le trafic sur le web est éloquant

oui le patch puis changer les clés et login/pass c'est bien, si tu pense avoir été exposé, pour le comment faire, il vaut mieux poser ta question sur une section plus dédiée de ce forum :)

Modifié par MS_Totor
Lien vers le commentaire
Partager sur d’autres sites

bonjour à tous, suite à vos message je suis devenu completement parano, j'ai changé mon mot de passe myds center chez synology et j'ai refait la mise à jour vers dsm5.0.

Faite attention aux faux email d'entretien d'embauche aussi qui circule, je suis sure qu'il ya beaucoup de données personnel de gens dans la nature à bientot tout le monde.

Modifié par ledomien2
Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

pour ceux qui sont en 4.3, et qui n'y aurrait pas fait attention patch déployé pour Heartbleed DSM 4.3-3827 Update 2

(2014/4/21)

Compatibility and Installation

DSM 4.3-3827 Update 2 can only be installed on Synology products running DSM 4.3-3827 via DSM Update. Please log in to DSM, go to Control Panel > DSM Update, click Update Settings and select Important Updates Only to see and install the update.

Change Log
  1. Fixed a critical security issue of OpenSSL (Heartbleed) to prevent secret keys from being compromised. (CVE-2014-0160)
  2. Fixed an issue causing the homes shared folder to become inaccessible after being moved to another volume.
  3. Fixed an issue allowing the basic information of Synology NAS devices to be obtained outside of the local network without authentication.
  4. Fixed password recovery e-mail to include the correct port number even when launched in Application Portal with customized ports.
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.