Actualités
01/04/20 Avis de rappel d'un chargeur USB O.mee
30/03/20 Intel recommande la désinstallation du pilote Renesas USB 3.0
30/03/20 Nouvelles failles de sécurité corrigées dans les pilotes graphiques Intel
27/03/20 Hotfix GeForce 445.78 pour les jeux DX11 avec Image Sharpening
27/03/20 Le Décodeur TV UHD Orange supporte la VoD HDR10 [MAJ]
26/03/20 Une mise à jour des applications Toshiba Canvio en avril 2020
24/03/20 La fin du support de Windows 10 1709 Enterprise/Education reportée de six mois
23/03/20 NVIDIA propose le pilote GeForce R445 (445.75) avec DLSS 2.0
23/03/20 L'outil de configuration Ansel disponible pour les pilotes NVIDIA GeForce DCH
20/03/20 Firmware 7.4.0 pour les NAS Western Digital My Cloud Home


Fichiers
02/04/20 Logitech Sync 2.1.129
02/04/20 Fractal Audio FM3-Edit 1.01.01
02/04/20 Fractal Audio Axe-Edit III 1.05.09
02/04/20 AOPEN 27MH2-P 1.0 WHQL
02/04/20 AOPEN 27HC2UR-P 1.0 WHQL
02/04/20 AOPEN 27HC2R-P 1.0 WHQL
02/04/20 AOPEN 24HX2Q 1.0 WHQL
02/04/20 AOPEN 24CH3Y 1.0 WHQL
02/04/20 AOPEN 35HC3CKR 1.0 WHQL
02/04/20 AOPEN 27MH1-P 1.0 WHQL
Accueil / Commentaires des news
Répondre Actualiser Rechercher S'inscrire ou s'identifier FAQ

Pages : 1

Par Julien
Le 23/10/2018 à 18:02:28



Inscription : le 16/02/2001
Localisation : Vitrolles
WD répond aux critiques sur la sécurité de ses NAS avec une salve de mises à jour
Les NAS Western Digital de la gamme My Cloud avaient été épinglés en fin d'année 2016 pour la présence de nombreuses failles de sécurité critiques. Informé dès le départ de cette situation, le constructeur avait mis de longs mois avant de proposer des correctifs au printemps 2017 puis une autre série de patchs en fin d'année dernière.

Plus récemment, en septembre 2018, la société hollandaise Securify, spécialisée dans la recherche de vulnérabilités, a dévoilé que les NAS WD My Cloud contenaient toujours une faille de sécurité critique qui permettait à n'importe qui d'outrepasser le mécanisme d'authentification pour s'identifier comme administrateur grâce à un cookie falsifié et ainsi d'obtenir le control total du NAS et des données stockées.

Cette nouvelle faille de type Authentication bypass aurait en fait été découverte en avril 2017 et WD aurait immédiatement été averti sans pour autant avoir répondu à Securify ni avoir apporté la moindre correction depuis tout ce temps. La faille a finalement été rendue publique le 18 septembre 2018 et publiée dans la base de données CVE sous la référence CVE-2018-17153.

L'affaire ayant immédiatement pris de l'ampleur dans la presse, la réaction de Western Digital n'a finalement pas tardé cette fois avec la publication d'un communiqué de presse indiquant que tout allait être mis en œuvre pour corriger la vulnérabilité dès que possible. La correction n'a finalement pas pris beaucoup de temps à Western Digital puisque dès le 21 septembre 2018 soit 48 heures après, un firmware correctif pour le système d'exploitation My Cloud OS 3 était déjà disponible pour les NAS My Cloud. Il s'agit de la version 2.30.196 pour les tous derniers modèles et de la version 2.11.178 pour les NAS un peu plus anciens.

Mieux vaut tard que jamais mais il est vraiment regrettable que Western Digital attende toujours d'être mis sous pression avant d'agir et de sécuriser ses produits. Cet épisode semble toutefois avoir fait réfléchir Western Digital puisque quelques semaines après avoir publié ces mises à jour pour la vulnérabilité CVE-2018-17153, le constructeur revient déjà à la charge avec une nouvelle mise à jour qui semble renforcer considérablement la sécurité des NAS My Cloud.

Ce nouveau firmware est le 2.31.149 et se destine uniquement aux NAS My Cloud 2.x, Mirror Gen 2, EX2 Ultra, DL2100, DL4100, EX2100, EX4100, PR2100 et PR4100. Les notes de version affirment en effet qu'une bonne dizaine de failles supplémentaires ont été corrigées dont certaines permettaient d'injecter des commandes, de lancer des attaques par déni de service ou encore d'intercepter les clics de l'utilisateur dans l'interface. Mais ce n'est pas tout puisque plusieurs modules importants (Apache, PHP, OpenSSH, OpenSSL...) ont été actualisés ce qui apporte sans doute, par un effet de cascade, des dizaines voire des centaines de corrections de failles en plus.

Bref, l'application de ce nouveau firmware correctif 2.31.149 daté du 18/10/2018 semble plus urgente que jamais ! Espérons qu'un correctif équivalent soit bientôt proposé pour les autres modèles plus anciens.

Téléchargement du firmware My Cloud OS 3 2.31.149


Téléchargement du firmware My Cloud OS 3 2.11.178




Modérateur TLD
Pages : 1


Retour sur le forum Commentaires des news

Identification

Nom d'utilisateur
Mot de passe

  Recevez vos identifiants par e-mail si vous les avez oubliés.
  Inscrivez-vous si vous n'êtes pas encore membre de TousLesDrivers.com.
 
Répondre au message WD répond aux critiques sur la sécurité de ses NAS avec une salve de mises à jour

   Message
      

   Insérer des smileys
    :)  ;)  :D  :P  :(  :?:
    Plus de smileys
    Lien N°1 / Lien N°2 / Puce / Gras / Italique / Souligné / Barré

   Merci de lire la FAQ avant d'ajouter un message.