Muy probablemente hayas escuchado algo sobre la vulnerabilidad bajo OpenSSL (CVE-2014-0160, conocido como Heartbleed) que se ha publicado recientemente y de la que se calcula que alrededor del 66% de servidores existentes en Internet eran sensibles al problema, entre ellos grandes como Google o Facebook, que rápidamente parchearon sus sistemas para evitar ataques o robo de datos.
Este fallo de seguridad podemos resumirlo en una vulnerabilidad sobre las conexiones HTTPS (también estarían afectadas las conexiones SSH basadas en estas librerías) y que siempre se implementan en cualquier servidor seguro, el fallo permite que se exponga de forma pública la clave pública en la encriptación de datos entre cliente/servidor, posibilitando que un tercero malintencionado suplantase la identidad del servidor o que hiciese un ataque tipo man-in-the-midle. Las versiones afectadas de las librerías en cuestión van de la 1.0.1 a la 1.0.1f, osea, que este fallo ha existido durante dos años.
Con este problema muchos sistemas basados en versiones en Linux han visto comprometida su integridad, entre ellos la gran mayoría de equipos NAS basados en este Sistema Operativo, aunque fabricantes como Synology o QNAP han liberado rápidamente un parche que actualiza estas librerías a versiones seguras.
QNAP
QNAP ha confirmado que su servicio SSH no está dentro de la vulnerabilidad y ha liberado diferentes actualizaciones para QTS 4.0.7 con la solución a este agujero de seguridad, todavía no están disponibles todos los modelos pero se irán añadiendo a la lista los que falten en breve, en los siguientes links tienes la descarga disponible:
Synology
En el caso de Synology deberías poder actualizar tu NAS a la versión DSM 5.0-4458 Update 2 desde el Panel de Control, pero parece que algunos modelos han tardado en reflejar la disponibilidad de esta actualización, pero descargar el parche manualmente desde el FTP de Synology y que además incluye otras correcciones que tenía previstas lanzar.
DSM 5.0-4458 Update 2 Change Log
- Fixed a critical security issue of OpenSSL (heartbleed) to prevent secret keys from being compromised. (CVE-2014-0160)
- Enhanced the reliability of moving shared folders to different volumes.
- Fixed a security issue causing encrypted shared folders to be mounted automatically after resetting the admin's password by pressing the reset button.
- Fixed an issue causing system services and applications to possibly stop working.
- Fixed an issue causing files indexing in Media Library to possibly stop working.
- Fixed an issue preventing users from logging into FTP service when Personal Website was enabled and the homes shared folder was located on an ext3 volume.
- Fixed an issue causing hard drives to not hibernate when SSD read-write cache was enabled.
Synology además recomienda el cambio de contrasela si tienes cuenta en su servicio MyDS.
0 comentarios:
Publicar un comentario