ファームウェア4.1.1 Build0924およびそれ以前のbashの脆弱性への注意喚起
QNAP製NAS製品で採用しておりますEmbedded Linux OSのshellプログラム bash に関して、重大な脆弱性が確認されております。この脆弱性に対応するため、修正された新しいファームウェアがQNAPから提供開始されており、ファームウェア4.1.1 Build1003で修正済みとなっております。お手元のファームウェアの最新版へのアップデートをお願い致します。
修正済みファームウェアの入手方法:
- ダウンロードページのモデル名プルダウンメニューから機種を選択します。
- ダウンロードするFirmwareが、「4.1.1 build 1003」であることを確認の上、ダウンロードください。なお、同じバージョンの古いBuild番号もダウンロード頂けますが、こちらは脆弱性の影響を受けます。Build番号に誤りが無いか、ダウンロードの際は十分ご注意ください。
- ファームウェアのダウンロードリンクは3つ(Global、Europe、USA)あります。いずれのリンクも同じファームウェアです。お住まいの地域によって、リンクをクリックしてください。日本国内からは、Globalからのダウンロードを推奨いたします。
- .ダウンロードしたファームウェアはzip形式で圧縮されています。ダウンロードしたファイルを任意のフォルダに保存し、zip形式で圧縮されているファームアウェアファイルを展開します。
- お手元のブラウザからQNAPの管理画面を表示させ、コントロールパネル → システム設定 → ファームウェア更新 → ファームウェア更新タブと進み、参照ボタンをクリックします。
- ファームウェアファイルの選択ウインドウが開きますので、先ほど展開したファームウェアファイルを選択します。
- 選択後「システムの更新」ボタンを押し、ファームウェア更新を行います。
- 再起動後、ファームウェアのバージョンが4.1.1、日付が2014/10/03になっていることを確認してください。
脆弱性のある類似のバージョン・ビルド番号のご注意
今回の修正済みファームウェア4.1.1 build 1003の提供直前に、同一バージョンの異なるビルド番号で
・QTS4.1.1 build0924 (脆弱性を含むFirmwareです)
・QTS4.1.1 build0927 (脆弱性を含むFirmwareです)
が提供されておりましたが、こちらは脆弱性の影響を受けます。
ダウンロードの際はお間違えのないよう十分にご注意ください。
ライブ更新について
ファームウェアのライブ更新機能で脆弱性が修正されたQTS4.1.1 build1003の配布が開始されております。自動チェックを有効にしている場合には管理画面を表示した時点で、有効にしていない場合でも「更新の確認」ボタンを押下しますと新しいFirmwareを自動でダウンロード・適用致します。
ダウンロードサイトからのFirmwareのダウンロードがご面倒な場合にはこちらの方法でもUpdate頂けます。ライブ更新で更新を行った場合には、再起動頂いた後でファームウェアのバージョン・日付を再度ご確認下さい。
ご参考
QNAP ユーザマニュアル ファームウェア更新方法
- Firmware 4.1
http://docs.qnap.com/nas/4.1/SMB/jp/index.html?firmware_update.htm
Firmware4.0
http://docs.qnap.com/nas/4.0/SMB/jp/index.html?firmware_update.htm
Firmware 3.8
http://docs.qnap.com/nas/3.8/jp/index.html?firmware_update.htm - 本脆弱性に関する情報JVNVU#97219505 GNU Bash に OS コマンドインジェクションの脆弱性
http://jvn.jp/vu/JVNVU97219505/index.html - 修正済みファームウェアのダウンロードページへのリンク
http://www.qnap.com/v3/jp/product_x_down/
ご注意:
本ページは9月29日に公開した本脆弱性のご案内ページのUpdateになります。以前のご案内ページでお知らせしておりましたFirmwareには脆弱性が含まれておりますので、すでにFirmwareをQTS4.1.1 Build0927にUpdate済みでも本ページの内容を参照の上、Firmwareの再Updateを行いQTS4.1.1 Build1003への書き換えの実施を強くお勧めいたします。