ファームウェア4.0.0~4.0.3の脆弱性への注意喚起と対処方法のご案内
QNAP製NASのFirmware4.0.0~4.0.3において、 管理画面機能に脆弱性が存在し、外部の第三者によって情報を取得される可能性のあることがわかりました。
・現在、各製品を対象としたBeta版Firmware 4.0.5/4.1.0がQNAPより提供開始されており、こちらは脆弱性がございません。
・Firmware3.x.xにも本脆弱性は存在しません。
・本脆弱性はTCP80番ポートに対する不正なアクセスにより発生いたします。
お手元のFirmwareを確認の上、以下の対処を推奨致します。
Firmwareが3.x.xである場合
そのままご利用頂いて構いません。
Firmware 4.x.xへのUpdateも現時点では推奨いたしません。 ただし、3番台の古いFirmwareには他の脆弱性もございますので、 できましたら3番台中でより新しいFirmwareへのアップデートをお勧め致します。
Firmwareが4.0.0~4.0.3である場合
Beta4.0.5もしくはBeta4.1.0へのUpdateを強くお勧め致します。 Updateが難しい場合にはインターネットなど、外部の信頼できないネットワークからアクセスできないようにするか、 TCP80番ポートにアクセスできないようFirewallの設定を行う等していただき、本脆弱性の影響を受けないよう回避する措置をお願い致します。 なお、Firmware 4.x.xから3.x.xに書き戻すことはできません。
Firmwareが4.0.5/4.1.0である場合
そのままご利用頂いて構いません。
注意事項
Firmware Beta4.0.5/4.1.0には条件によってネットワークがLinkDownしてしまうバグがメーカーにより確認されております。 現状ではこのバグを回避するためにはバグが顕在化しない4.0.3に書き戻して頂く必要がございます。 書き戻した場合には脆弱性の影響を受けるため、別途信頼できないネットワークからTCP80番ポートにアクセスできないようFirewallの設定を行う等していただく必要がございます。 なお、Firmware 4.x.xから3.x.xに書き戻すことはできません。 上記の問題が存在することから、現時点ではFirmware 3.x.xをご利用のユーザー様が4.x.xにUpdateなさることは推奨いたしません。
ご参考:
- QNAP ダウンロードセンター
http://www.qnap.com/v3/jp/product_x_down/ - QTS 4.1 Beta Program
http://www.qnap.com/v3/jp/product_x_down/beta.php - ファームウェア更新方法
http://docs.qnap.com/nas/jp/index.html?firmware_update.htm - 本脆弱性に関する情報:
JVNVU#95681821 QNAP QTS にディレクトリトラバーサルの脆弱性
http://jvn.jp/cert/JVNVU95681821/ Vulnerability Note VU#487078 QNAP QTS path traversal vulnerability http://www.kb.cert.org/vuls/id/487078
※本ページの情報は2014/01/10に弊社で公開した本脆弱性情報に関するお知らせの更新版になります。
以前公開していた本脆弱性に関するお知らせについては下記2014/01/10公開情報をご参照ください。
http://www.tekwind.co.jp/faq/QNA/entry_207.php
公開当時の古い内容のため、情報が不十分であるか正確ではない情報が含まれますのでご了承ください。