Les NAS Buffalo Technology ne sont pas affectés par le bug 'Heartbleed'

Buffalo Technology confirme que ses systèmes NAS ne sont pas affectés par le bogue Heartbleed. Toutefois, trois anciens modèles de routeurs doivent être vérifiés s’ils fonctionnent avec firmware DD-WRT.

Paris, 24 Avril 2014 - Buffalo Technology, l'un des principaux fabricants mondiaux de NAS et routeurs, a annoncé aujourd'hui que tous les produits fonctionnant sur firmware Buffalo sont à l'abri du bogue 'Heartbleed’. Les NAS LinkStation et TeraStation de Buffalo ne sont pas affectés par le bug, il en va de même pour tous les modèles actuels de routeur AirStation et tous les routeurs qui travaillent avec firmware Buffalo Technology. Pour trois anciens routeurs Buffalo fonctionnant sur firmware DD-WRT les paramètres doivent être vérifiés pour voir s’ils pourraient être à risque.

Le bug 'Heartbleed' dans les versions d'OpenSSL 1.0.1 à 1.0.1f (incluse) permet de détecter les mots de passe et informations d'identification utilisateur provenant de divers systèmes et sites web. Buffalo Technology confirme que les serveurs NAS (Network Attached Storage) de ses clients sont complètement à l'abri du bogue Heartbleed. Klaas de Vos, Chef de l'exploitation de Buffalo Europe déclare: «Nos ingénieurs logiciels japonais sont extrêmement prudents en ce qui concerne les aspects de sécurité. Lorsque la nouvelle extension ‘heart beat’ a été lancé pour Open SSL ils ont décidé de ne pas l'utiliser. Ceci s'est avéré être un bon choix." Helge Lichner, Ingénieur Commercial Buffalo Europe ajoute:"D'un point de vue technique, il n'y a pas de sens d'utiliser la version étendue Open SSL parce que nos produits ne se concentrent pas sur les services de serveur Web. Ainsi, à la place nous avons gardé les versions Open SSL stables, et très sécurisés testés dans notre OS pour LinkStation, TeraStation et AirStation ".

La société confirme également que tous les modèles actuels de routeur AirStation et tous les anciens modèles fonctionnant sur firmware Buffalo sont sûrs. Toutefois, les utilisateurs qui utilisent un firmware DD-WRT sur l'AirStation WZR-HP-G300NH2, WZR-HP-G450H ou WZR-HP-AG300H et n'utilisant pas les paramètres par défaut peuvent être potentiellement à risque. Si vous avez activé manuellement 'Open VPN ", s'il vous plaît consultez cette page pour les mises à jour: www.dd-wrt.com/site/content/heartbleed-dd-wrtdd-wrt-online-services. Les trois modèles sont en fin de vie et ne sont plus distribués. DD-WRT travaille sur un patch pour eux, mais demande aux utilisateurs de ne pas paniquer. Peter Steinhäuser, directeur général de NewMedia-NET GmbH: "OpenSSL a été immédiatement mis à jour dans le référentiel SVN DD-WRT. Dans les prochains jours, nous allons fournir des versions mises à jour pour tous les routeurs, y compris les versions spécifiques de Buffalo. Les utilisateurs concernés doivent d'abord vérifier si leur installation est vraiment affectée par Heartbleed - par défaut aucun service utilisant OpenSSL n’est actif dans DD-WRT ".

À propos de Heartbleed
Heartbleed est un bug nommé d'après l’extension ‘heart beat’ dans le protocole TLS / SSL. L'extension ‘heart beat’ conserve une connexion SSL ouverte. Pour les serveurs, il est logique parce rétablir une connexion nécessite plus de ressources système que de vérifier les connexions et couper la connexion uniquement si le client ne répond pas plus. L'intention était d'améliorer les performances des serveurs et des ressources de sécurité. Toutefois, cette extension a un défaut de conception, d'où le nom 'Heartbleed. Si une version Open SSL est installée qui utilise cette extension particulière du système, elle est potentiellement vulnérable. L'extension a déjà été publiée en 2012 et est utilisé par de nombreuses parties. SSL a été vulnérable jusqu'en Avril 2014 pour les utilisateurs utilisant les versions basées sur le standard. Pour plus d'informations, voir ici: www.infoq.com/news/2014/04/heartbleed-ssl ou heartbleed.com

Lire la suite >