Synology Faille critique chez synology avec Photo Station ou Synology Photos

je n'ai rien vu concernant Photo Station ( mais j'ai pas cherché plus que cela ), cependant pour Synology Photos il y a bien une faille Critique :

Corrigée depuis une petite semaine concernant Synology Photos.
 
  • J'adore
Réactions: FX Cachem
Une faille critique découverte sur les NAS Synology
Greg Onizuka
1 nov. 2024 à 20:45
Si les NAS Synology sont très populaires, et à raison vu leur efficacité sans prise de tête, le revers de la médaille arrive quand une faille touche ces appareils : une vilaine fissure béante zéro-click vient à peine d’être dévoilée.


Mettez vite à jour ce package... et profitez-en pour mettre à jour les autres. Capture MacGeneration.
Et attention, celle-ci est épicée : elle donne accès à n’importe quel NAS de la marque ainsi qu'aux BeeStations (marque qui est développée par Synology, permettant la mise en ligne facile de contenu stocké en local, un mini NAS simplifié associé à un accès en ligne) en passant par l’app Synology Photo Station, ou Synology Photos dans les versions les plus récentes. Une fois le malandrin tranquillement entré dans l’accès web de cette app, il va pouvoir effectuer une escalade de permissions pour grimper jusqu’au compte root, et ensuite, c’est open-bar.

La faille a été découverte par un groupe de chercheurs néerlandais, et est dite zéro-click du fait qu’aucune intervention du propriétaire n’est nécessaire pour l’exploiter. Comme le rappelle ce groupe sur Wired, ces NAS sont certes énormément utilisés par les particuliers, mais aussi par beaucoup de structures petites mais vitales : ils ont ainsi pu visiter les serveurs de stockage de plusieurs polices des USA et de France, ainsi que des transporteurs, des entreprises pharmaceutiques et mêmes des gestionnaires de réseaux électriques nationaux dans divers pays. Il est donc vivement conseillé de mettre à jour le package Synology Photos pour supprimer cette fuite, sous peine de devoir potentiellement discuter avec un brigand vous réclamant des crypto-monnaies dans les jours à venir...

Article mis à jour, rappelant que les BeeStations, marque de Synology, sont aussi touchées par la faille, qui n'est pas à négliger pour un appareil destiné à être accessible en ligne en permanence.
 
DSM 6 vs DSM 7 peut etre ?

Ps : visiblement non, car c'est marqué DSM 7.2 pour les deux.

Peut etre qu'il y a de gros changements voir des breakchange / perte de fonctionnalité entre 1.6 et 1.7 donc Syno maintien les deux versions en // pendant un certains temps pour ne pas forcer tous les utilisateurs a la migration tout de suite ...

je n'ai pas suivi les évolutions de Synology Photos
 
  • J'aime
Réactions: bliz
Salut à tous,

Effectivement il y a eu des rafales de mises à jour suite aux failles découvertes lors de l'event dont nous a parlé Fx (https://www.cachem.fr/pwn2own-2024)
Mais pas uniquement pour les paquets du NAS mais aussi pour le Client Synology Drive.

Et je ne sais pas vous.... mais j'ai même reçu un Email de la part de synology qui listait les différentes mises à jours associées aux failles détectées.
J'ai été hyper surpris... en tant que simple particulier d'obtenir ce service. Et surtout dans un délai aussi court !
 
  • J'aime
Réactions: FX Cachem
Je ne comprends pas, je suis furax et je sens bien qu'on ne nous dit pas tout.
D'après ce que je comprends, la faille de sécurité permettrait au pirate d'entrer sur nos NAS via VideoStation et/ou synology photo.
Les autres applis n'étant pas concernées, pourquoi ne pas corriger la faille sur VideoStation et synology photo, plutôt que d'upgrader le DSM vers la version 7.2.2 puis la version 7.2.2 update 1? Où est la logique dans tout ça ?
Je suis abreuvé chaque jours d'e-mails en tous genres, le dernier en date me disant : "DSM 7.2.1-69057 Update 6 sera automatiquement installé dans 10 minutes. Si vous souhaitez annuler l'installation, connectez-vous à "nom du NAS" et cliquez sur le lien d'annulation dans la zone de notification du bureau."
Je suis allé voir immédiatement, mais vu que je n'ai pas supprimé VidéoStation et que je suis déjà en DSM 7.2.1-69057 Update 6, rien ne s'est passé !
Mais c'est quoi ce souk ? Ils ont picolé chez Synology ?
Une chose est pour moi très claire : Je n'ugraderai pas le DSM en 7.2.2 tant que je serai condamné à perdre définitivement VidéoStation. Quand aux risques potentiels de piratages, je les assume et je verrai bien ce qui se passera !
Autre chose : je déteste que l'on me mette un couteau sous la gorge pour m'inciter à faire ce que je ne souhaite pas, donc le jour où je changerai de NAS, je ne rachèterai certainement pas un Synology...
 
Dernière édition:
Bonjour,
Je n'ugraderai pas le DSM en 7.2.2 tant que je serai condamné à perdre définitivement VidéoStation.
Enfin bon, c'est la vie ... toutes les marques et/ou distribution arrêtent à un moment ou un autre le développement de leurs produits. Inutile de te faire le portrait d'Apple - le champion à ce niveau, Windows arrête W10, nombre d'OS Linux sont abandonnés, nombre aussi de Docker ne sont plus maintenu (ou repris) par leur dév ...
Je comprends et partage ton coup de gueule, mais, concernant Syno, cela fait déjà qques temps qu'ils ont délaissé le multimédia (par le choix de leur matériel) pour s'orienter vers du stockage fiable "entreprise" (par l'exigence de leur OS) - fonction première d'un Nas.
Même si l'app VideoStation avait un aspect sympathique, il devenait de + en + compliqué de la faire fonctionner correctement - ne lisait pas tout type de vidéo (très limité) - obliger de s'inscrire sur TMDB pour le grattage des infos - connexion aléatoire sur AndroidTV - Image de qualité perfectible ...
rachèterai certainement pas un Synology
Si tu souhaites installer sur ton Nas des fonctions multimédias (en complément du stockage), il te faudra effectivement t'orienter sur un autre type de matériel - OS - marque.
 
  • J'aime
Réactions: morgyann
Il y a une MAJ de Synology Photos (la version 1.6.2-0720) qui corrige la faille pour DSM 7.2.1
Oui, effectivement, mais si je l'installe, je devrai d'abord retirer Video Station, ce que je ne refuse, pour d'abord faire la mise à jour vers le 7.2.2, pour pouvoir bénéficier de la MAJ de Synology Photos. Au final, j'aurai
Synology Photos à jour, du moins jusqu'à ce que Syno nous le supprime et j'aurai perdu à jamais
Video Station ! Je préfère conserver ces 2 logiciels en restant en DSM 7.2.1, c'est un choix, c'est mon choix.
Message automatiquement fusionné :

Ou utiliser un vrai serveur multimédias comme Plex et consorts.

@jcfiguet c'est quoi ton NAS ?
C'est un Syno DS923+ de 16To. Pour info, il était vendu avec VideoStation et c'est en partie pour ça que je l'avais acheté...
 
Bonjour,

Enfin bon, c'est la vie ...
Oui c'est la vie : Demain, l'état t'impose d'héberger un couple de cas sociaux dans ton salon, sinon tu paye un impôt supplémentaire. Si "c'est la vie", tu acceptes sans broncher, n'est-ce pas ? Moi je sors le fusil... C'est aussi la vie : il y a toujours des fous qui trainent dans la nature !

Si tu souhaites installer sur ton Nas des fonctions multimédias (en complément du stockage), il te faudra effectivement t'orienter sur un autre type de matériel - OS - marque.
Désolé, mais là il y a tromperie !
Lorsque j'ai acheté ce nas, un Synology DS923+, VideoStation faisait partie du package et c'était un argument de vente bien mis en avant par Synology...
Tu achète une voiture toutes options et un an plus tard le constructeur t'annonce qu'à la prochaine mise à jour informatique de l'ordinateur de bord, tu perdra l'usage de ta caméra de recul, de tes antibrouillards et de ta climatisation... "C'est la vie, n'est-ce pas ?...
Ta prochaine voiture sera t'elle de la même marque ? Perso j'ai acheté des Renault toute ma vie... La concession Renault locale m'a fait une crasse il y a 1 an de cela, j'ai racheté aussi sec une Toyota et une WV pour mon épouse, nous sommes ensuite allés à la concession Renault avec les 2 véhicules neufs pour montrer au patron qu'il a perdu 2 ventes... Ensuite je les ai pourri et je continue toujours à les pourrir sur tous les sites internet possibles. Tu crois qu'ils s'en fiche ? Oui, peut être, mais désormais, ils savent qu'ils perdent des ventes grâce à moi...

...concernant Syno, cela fait déjà qques temps qu'ils ont délaissé le multimédia (par le choix de leur matériel) pour s'orienter vers du stockage fiable "entreprise" (par l'exigence de leur OS) - fonction première d'un Nas.
Le multimédia faisait partie de leur historique ! Ils n'assument pas la maintenance de ce qu'ils ont vendu, ni ne proposent de solution alternative EQUIVALENTE !
Le multimédia est de plus en plus utilisé en entreprise, il mérite tout autant un stockage fiable que le reste (fichiers, serveurs web, etc.). L'exigence de leur OS ? Et bien qu'ils modifient leur OS en conséquence ! Sinon il n'y a plus de différence entre un professionnel et un margoulin !

Quoi qu'il en soit, je suis prêt à leur faire une contre-publicité un peu partout, leur mettre sur le dos toutes les associations de consommateurs possibles, que ce soit en France comme à l'étranger, etc. Si ça ne leur fait pas de mal, ça ne leur fera certainement pas du bien.