Synology Faille critique chez synology avec Photo Station ou Synology Photos

je n'ai rien vu concernant Photo Station ( mais j'ai pas cherché plus que cela ), cependant pour Synology Photos il y a bien une faille Critique :

Corrigée depuis une petite semaine concernant Synology Photos.
 
  • J'adore
Réactions: FX Cachem
Une faille critique découverte sur les NAS Synology
Greg Onizuka
1 nov. 2024 à 20:45
Si les NAS Synology sont très populaires, et à raison vu leur efficacité sans prise de tête, le revers de la médaille arrive quand une faille touche ces appareils : une vilaine fissure béante zéro-click vient à peine d’être dévoilée.


Mettez vite à jour ce package... et profitez-en pour mettre à jour les autres. Capture MacGeneration.
Et attention, celle-ci est épicée : elle donne accès à n’importe quel NAS de la marque ainsi qu'aux BeeStations (marque qui est développée par Synology, permettant la mise en ligne facile de contenu stocké en local, un mini NAS simplifié associé à un accès en ligne) en passant par l’app Synology Photo Station, ou Synology Photos dans les versions les plus récentes. Une fois le malandrin tranquillement entré dans l’accès web de cette app, il va pouvoir effectuer une escalade de permissions pour grimper jusqu’au compte root, et ensuite, c’est open-bar.

La faille a été découverte par un groupe de chercheurs néerlandais, et est dite zéro-click du fait qu’aucune intervention du propriétaire n’est nécessaire pour l’exploiter. Comme le rappelle ce groupe sur Wired, ces NAS sont certes énormément utilisés par les particuliers, mais aussi par beaucoup de structures petites mais vitales : ils ont ainsi pu visiter les serveurs de stockage de plusieurs polices des USA et de France, ainsi que des transporteurs, des entreprises pharmaceutiques et mêmes des gestionnaires de réseaux électriques nationaux dans divers pays. Il est donc vivement conseillé de mettre à jour le package Synology Photos pour supprimer cette fuite, sous peine de devoir potentiellement discuter avec un brigand vous réclamant des crypto-monnaies dans les jours à venir...

Article mis à jour, rappelant que les BeeStations, marque de Synology, sont aussi touchées par la faille, qui n'est pas à négliger pour un appareil destiné à être accessible en ligne en permanence.
 
DSM 6 vs DSM 7 peut etre ?

Ps : visiblement non, car c'est marqué DSM 7.2 pour les deux.

Peut etre qu'il y a de gros changements voir des breakchange / perte de fonctionnalité entre 1.6 et 1.7 donc Syno maintien les deux versions en // pendant un certains temps pour ne pas forcer tous les utilisateurs a la migration tout de suite ...

je n'ai pas suivi les évolutions de Synology Photos
 
  • J'aime
Réactions: bliz
Salut à tous,

Effectivement il y a eu des rafales de mises à jour suite aux failles découvertes lors de l'event dont nous a parlé Fx (https://www.cachem.fr/pwn2own-2024)
Mais pas uniquement pour les paquets du NAS mais aussi pour le Client Synology Drive.

Et je ne sais pas vous.... mais j'ai même reçu un Email de la part de synology qui listait les différentes mises à jours associées aux failles détectées.
J'ai été hyper surpris... en tant que simple particulier d'obtenir ce service. Et surtout dans un délai aussi court !
 
  • J'aime
Réactions: FX Cachem