Si on savait déjà que de très nombreux sites web ainsi que plusieurs logiciels (comme certaines applications Intel évoquées hier) sont vulnérables à la faille de sécurité qui touche le composant OpenSSL et qui a été révélée le 7 avril, on ne savait en revanche pas encore que certains produits matériels sont également touchés.

La société Western Digital annonce en effet que le système d'exploitation de ses derniers NAS 4 baies My Cloud EX4, basé sur Linux, intègre le composant OpenSSL, les rendant de ce fait potentiellement piratables grâce à la faille de sécurité CVE-2014-0160 mieux connue sous le nom Heartbleed.

Des certificats SSL/TLS peuvent effectivement être utilisés sur le My Cloud EX4 afin de sécuriser les connexions FTPS pour le transfert de fichiers. Et c'est justement la bibliothèque OpenSSL qui a été implémentée par Western Digital pour cela. Heureusement, un firmware correctif, le 1.02.36, vient d'être publié pour l'EX4. Il est donc conseillé d'appliquer cette mise à jour dès que possible.

Cette mise à jour 1.02.36 pour l'EX4 corrige par ailleurs quelques bugs comme une utilisation intensive du CPU en veille, l'incapacité de détecter parfois l'EX4 sur le réseau avec les applications WD SmartWare et WD Discovery ou encore une erreur HTTP 500 dans l'interface web de configuration.

Pour le moment, le firmware de son petit frère, le My Cloud EX2 (2 baies), n'a pas été actualisé et en reste à la version 1.02.03 de début mars 2014. Si l'on en croit ses spécifications, l'EX2 est pourtant, lui aussi, compatible avec la cryptographie SSL/TLD et devrait donc bénéficier d'une mise à jour équivalente très prochainement. Même chose pour le My Cloud premier du nom qui intègre probablement également OpenSSL.

Firmware 1.02.36 pour les NAS Western Digital My Cloud EX4

Actualité publiée par Julien Sambourg le vendredi 18 avril 2014 à 07:06
Commenter cette actualité
Marque associée : Western Digital
Catégorie associée : Network Attached Storage (NAS)
Flux RSS des actualités TousLesDrivers.com