 Seagate vient d'annoncer que ses NAS bénéficieront dans les prochaines semaines d'un nouveau firmware permettant de corriger la faille de sécurité Badlock (CVE-2016-0128/CVE-2016-2118) qui affecte le protocole de partage de fichiers Samba sur les machines Unix/Linux.
Seagate affirme avoir de bonnes raisons de penser que plusieurs produits de sa gamme de NAS sont susceptibles d'être touchés par cette vulnérabilité mais le fabricant ne fournit pas encore la liste des NAS concernés ni de ceux qui bénéficieront effectivement du firmware corrigé. On peut supposer que ce sera bien les cas des modèles Business Storage.
En attendant la sortie de ces mises à jour, Seagate recommande de veiller au respect de certaines pratiques élémentaires de sécurité comme l'installation d'un pare-feu entre Internet et le réseau local, l'utilisation exclusive du protocole HTTPS pour accéder à l'interface de configuration ou encore la désactivation de certaines fonctionnalités si elles ne sont pas utilisées (UPnP Port Forwarding notamment).
De son côté, le fabricant Synology a également communiqué il y a quelques jours au sujet de Badlock et annonce qu'une mise à jour du système DiskStation Manager sera rapidement proposée suite à la disponibilité du patch officiel chez Samba ce qui, en l'occurrence, est le cas depuis hier avec la publication de Samba 4.4.2. Un nouveau firmware DSM 6.0 ne devrait donc plus tarder. Là encore, en attendant, Synology conseille d'activer le firewall embarqué dans le NAS et de restreindre l'accès au partage de fichiers (Windows file server) aux seules adresses IP locales et connues.
En revanche, il n'y a, à priori, pas encore eu d'annonce officielle sur ce sujet chez d'autres marques de NAS comme Western Digital, Thecus, QNAP ou encore NETGEAR...
Pour information, la faille Badlock concerne aussi les systèmes Windows et le protocole SMB (qui est l'équivalent de Samba). Le bulletin de sécurité MS16-047 du mois d'avril propose d'ailleurs un patch correctif qui est en cours de déploiement par Microsoft sur Windows Update. Cette faille peut être exploitée par une attaque de l'homme du milieu et permet d'effectuer une élévation de privilèges.
|
Modérateur TLD
|
|
Actualités
16/04/24 Le logiciel Portable SSD Software tire sa révérence pour les SSD USB Samsung
24/04/24 Microsoft Surface Laptop 5 22621 24.040.1348.0 WHQL
24/04/24 Mevo Wireless Camera 0.8.4.17.1 bêta
24/04/24 HKG GK HE Series 1.0.0.10
24/04/24 Hercules HSM Series/Stream Control 1.HSM.2024/1.3.4 WHQL
24/04/24 Fujifilm RAW FILE CONVERTER EX 3.0 powered by SILKYPIX 8.1.15.0
24/04/24 FiiO KA17 1.16
23/04/24 Nikon Z 8 2.01
