Western Digital propose le nouveau firmware 2.43.10-048 pour les NAS My Book Live et My Book Live Duo visant exclusivement à corriger la faille de sécurité POODLE ce qui signifie Padding Oracle On Downgraded Legacy Encryption ou plus malicieusement caniche.

La vulnérabilité POODLE (CVE-2014-3566) a été révélée en fin d'année 2014 et touche le protocole SSL 3.0. Son exploitation avec une attaque de type de l'homme du milieu permet à un utilisateur tiers de décrypter les données échangées entre un ordinateur et un serveur. L'utilisation du protocole TLS au lieu de SSLv3 est donc privilégiée ces derniers mois même si celui-ci peut aussi être touché dans certains scénarios.

Dans les NAS My Book Live, le SSL est notamment utilisé pour sécuriser les échanges de fichiers avec le protocole FTPS après avoir généré un certificat avec l'API OpenSSL.

Pour rappel, Western Digital avait déjà patché la majorité de ses NAS l'année dernière afin de combler la vulnérabilité Heartbleed ou plus récemment pour la faille Shellshock (Bashdoor) qui affecte, elle, l'interpréteur de commandes Unix.

Comme d'habitude, ce firmware 2.43.10-048 pour les My Book Live et My Book Live Duo doit être appliqué depuis l'interface de configuration HTTP (dashboard) des lecteurs.

Actualité publiée par Julien Sambourg le mardi 23 juin 2015 à 12:00
Commenter cette actualité
Marque associée : Western Digital
Catégorie associée : Network Attached Storage (NAS)
Flux RSS des actualités TousLesDrivers.com