ファームウェア4.0.0~4.0.3の脆弱性への注意喚起と対処方法のご案内

関連メーカー:QNAP 正規代理店

ファームウェア4.0.0~4.0.3の脆弱性への注意喚起と対処方法のご案内

QNAP製NASのFirmware4.0.0~4.0.3において、 管理画面機能に脆弱性が存在し、外部の第三者によって情報を取得される可能性のあることがわかりました。

・現在、各製品を対象としたBeta版Firmware 4.0.5/4.1.0がQNAPより提供開始されており、こちらは脆弱性がございません。
・Firmware3.x.xにも本脆弱性は存在しません。
・本脆弱性はTCP80番ポートに対する不正なアクセスにより発生いたします。

お手元のFirmwareを確認の上、以下の対処を推奨致します。

Firmwareが3.x.xである場合

そのままご利用頂いて構いません。
Firmware 4.x.xへのUpdateも現時点では推奨いたしません。 ただし、3番台の古いFirmwareには他の脆弱性もございますので、 できましたら3番台中でより新しいFirmwareへのアップデートをお勧め致します。

Firmwareが4.0.0~4.0.3である場合

Beta4.0.5もしくはBeta4.1.0へのUpdateを強くお勧め致します。 Updateが難しい場合にはインターネットなど、外部の信頼できないネットワークからアクセスできないようにするか、 TCP80番ポートにアクセスできないようFirewallの設定を行う等していただき、本脆弱性の影響を受けないよう回避する措置をお願い致します。 なお、Firmware 4.x.xから3.x.xに書き戻すことはできません。

Firmwareが4.0.5/4.1.0である場合

そのままご利用頂いて構いません。

注意事項

Firmware Beta4.0.5/4.1.0には条件によってネットワークがLinkDownしてしまうバグがメーカーにより確認されております。 現状ではこのバグを回避するためにはバグが顕在化しない4.0.3に書き戻して頂く必要がございます。 書き戻した場合には脆弱性の影響を受けるため、別途信頼できないネットワークからTCP80番ポートにアクセスできないようFirewallの設定を行う等していただく必要がございます。 なお、Firmware 4.x.xから3.x.xに書き戻すことはできません。 上記の問題が存在することから、現時点ではFirmware 3.x.xをご利用のユーザー様が4.x.xにUpdateなさることは推奨いたしません。

ご参考:

※本ページの情報は2014/01/10に弊社で公開した本脆弱性情報に関するお知らせの更新版になります。
以前公開していた本脆弱性に関するお知らせについては下記2014/01/10公開情報をご参照ください。
http://www.tekwind.co.jp/faq/QNA/entry_207.php
公開当時の古い内容のため、情報が不十分であるか正確ではない情報が含まれますのでご了承ください。

このページのTOPへこのページのTOPへ

(C) Tekwind Co., Ltd. ALL RIGHTS RESERVED.