Rechercher sur TLD Google
Favoris   Démarrage   Envoyer   Imprimer   Moteur TLD   RSS


Accueil > Actualités > WD répond aux critiques sur la sécurité de ses NAS avec une salve de mises à jour

WD répond aux critiques sur la sécurité de ses NAS avec une salve de mises à jour

Les NAS Western Digital de la gamme My Cloud avaient été épinglés en fin d'année 2016 pour la présence de nombreuses failles de sécurité critiques. Informé dès le départ de cette situation, le constructeur avait mis de longs mois avant de proposer des correctifs au printemps 2017 puis une autre série de patchs en fin d'année dernière.

Plus récemment, en septembre 2018, la société hollandaise Securify, spécialisée dans la recherche de vulnérabilités, a dévoilé que les NAS WD My Cloud contenaient toujours une faille de sécurité critique qui permettait à n'importe qui d'outrepasser le mécanisme d'authentification pour s'identifier comme administrateur grâce à un cookie falsifié et ainsi d'obtenir le control total du NAS et des données stockées.

Cette nouvelle faille de type Authentication bypass aurait en fait été découverte en avril 2017 et WD aurait immédiatement été averti sans pour autant avoir répondu à Securify ni avoir apporté la moindre correction depuis tout ce temps. La faille a finalement été rendue publique le 18 septembre 2018 et publiée dans la base de données CVE sous la référence CVE-2018-17153.

L'affaire ayant immédiatement pris de l'ampleur dans la presse, la réaction de Western Digital n'a finalement pas tardé cette fois avec la publication d'un communiqué de presse indiquant que tout allait être mis en œuvre pour corriger la vulnérabilité dès que possible. La correction n'a finalement pas pris beaucoup de temps à Western Digital puisque dès le 21 septembre 2018 soit 48 heures après, un firmware correctif pour le système d'exploitation My Cloud OS 3 était déjà disponible pour les NAS My Cloud. Il s'agit de la version 2.30.196 pour les tous derniers modèles et de la version 2.11.178 pour les NAS un peu plus anciens.

Mieux vaut tard que jamais mais il est vraiment regrettable que Western Digital attende toujours d'être mis sous pression avant d'agir et de sécuriser ses produits. Cet épisode semble toutefois avoir fait réfléchir Western Digital puisque quelques semaines après avoir publié ces mises à jour pour la vulnérabilité CVE-2018-17153, le constructeur revient déjà à la charge avec une nouvelle mise à jour qui semble renforcer considérablement la sécurité des NAS My Cloud.

Ce nouveau firmware est le 2.31.149 et se destine uniquement aux NAS My Cloud 2.x, Mirror Gen 2, EX2 Ultra, DL2100, DL4100, EX2100, EX4100, PR2100 et PR4100. Les notes de version affirment en effet qu'une bonne dizaine de failles supplémentaires ont été corrigées dont certaines permettaient d'injecter des commandes, de lancer des attaques par déni de service ou encore d'intercepter les clics de l'utilisateur dans l'interface. Mais ce n'est pas tout puisque plusieurs modules importants (Apache, PHP, OpenSSH, OpenSSL...) ont été actualisés ce qui apporte sans doute, par un effet de cascade, des dizaines voire des centaines de corrections de failles en plus.

Bref, l'application de ce nouveau firmware correctif 2.31.149 daté du 18/10/2018 semble plus urgente que jamais ! Espérons qu'un correctif équivalent soit bientôt proposé pour les autres modèles plus anciens.

Téléchargement du firmware My Cloud OS 3 2.31.149


Téléchargement du firmware My Cloud OS 3 2.11.178


Actualité publiée par Julien Sambourg le mardi 23 octobre 2018 à 18:02
Commenter cette actualité
Marque associée : Western Digital
Catégorie associée : Network Attached Storage (NAS)
Flux RSS des actualités TousLesDrivers.com



Actualités relatives
Annonces

Fichiers relatifs
Annonces

Dossiers relatifs
Boîte à outils SanDisk SSD Dashboard
Les Solid-State Drive (SSD) bénéficient régulièrement de mises à jour de leur logiciel interne (firmware) afin d'améliorer leurs performances et leur compatibilité. Pour effectuer cette mise à jour simplement, SanDisk propose l'application SSD Dashboard qui offre également bien d'autres fonctionnalités de maintenance et d'optimisation que nous vous présentons dans ce dossier.

Lecteurs multimédia HD Western Digital WD TV Live
Les lecteurs multimédia Western Digital de la série WD TV Live ont récemment bénéficié d'importantes mises à jour de leur firmware corrigeant de nombreux bugs et apportant plusieurs nouvelles fonctionnalités que nous allons vous présenter dans ce dossier après vous avoir expliqué en détail comment effectuer la mise à jour.