QNAP社NASの脆弱性への注意喚起
QNAP製NASのOSであるQTSにつきまして、脆弱性が確認されています。この脆弱性に対処するため、QTSの修正プログラムがQNAPから提供開始されています。
本ページ下部のリンクから各機種毎に異なる最新ファームウェアをダウンロード頂き、お手元でのアップデートをお願い致します。これにより本脆弱性の影響を回避することができます。
アップデートが何らかの事情で行えないという場合にはインターネットを含む、信頼出来ないネットワークからはアクセスできないようにするなどの対処を強くお勧め致します。
なお、ファームウェア 4.x.xから3.x.xに書き戻すことはできません。
重大度: 危険
対象FWバージョン: 全バージョン
対策バージョン:QTS 4.2.4 Build 20170313
問題の概要: QTS 4.2.4 Build 20170313は以下のセキュリティ修正を含んでいます。
- コンフィグレーションファイルの脆弱性 (CVE-2017-5227)
- SQLインジェクション、コマンドインジェクション、ヒープオーバーフロー、クロスサイトスクリプティング、スタックオーバーフローの3つの脆弱性
- コマンドインジェクションの3つの脆弱性 (CVE-2017-6361, CVE-2017-6360, and CVE-2017-6359)
- アクセスコントロールの脆弱性
- スタックオーバーフローの2つの脆弱性
- クリックジャッキングの脆弱性
- HttpOnlyフラグ欠落による脆弱性
- SNMPエージェントデフォルトコミュニティ名の脆弱性
- クリアテキスト内のNMPクレデンシャルの脆弱性
- LDAPアノニマスディレクトリアクセスの脆弱性
ご参考
- QNAPダウンロードセンター http://www.qnap.com/v3/jp/product_x_down/
- ファームウェア更新方法 http://docs.qnap.com/nas/4.2.2/cat2/jp/index.html?firmware_update.htm
- 本脆弱性に関する情報 https://www.qnap.com/ja-jp/support/con_show.php?cid=113