QNAP touché par la faille OpenSSL, le fabricant va tirer un trait sur TLS 1.0 et 1.1

l y a deux semaines, les développeurs en charge d’OpenSSL ont publié un correctif pour une faille (CVE-2022-0778) entraînant une « boucle infinie ». « Si elle est exploitée, la vulnérabilité permet aux attaquants de mener des attaques par déni de service », indique QNAP.

QNAP ajoute par contre que, dans son cas, « il n’existe actuellement aucune atténuation pour cette vulnérabilité. Nous recommandons aux utilisateurs de vérifier et d’installer les mises à jour de sécurité dès qu’elles seront disponibles ».

Dans un autre registre, le constructeur explique que son « site et le Centre de téléchargement arrêteront la prise en charge des protocoles Transport Layer Security (TLS) 1.0 et 1.1 à compter du 30 juin 2022. À partir de cette date, toutes les connexions utilisant ces protocoles ne fonctionneront plus ».

Il faudra donc disposer de TLS 1.2 minimum, ce qui est le cas sur les systèmes QTS 4.2.6, QuTS hero h4.5.0 et QuTScloud c4.5.1 minimum.