QNAP社NASの脆弱性への注意喚起

QNAP製NASのOSであるQTSにつきまして、脆弱性が確認されています。以下をご参照いただき、対策をお取りいただくことを推奨いたします。


重大度: 危険
対象ファームウェアバージョン:
    QTS 4.2.6: build 20180829およびそれ以前
    QTS 4.3.3: build 20180829およびそれ以前
    QTS 4.3.4: build 20181008およびそれ以前
            QTS 4.3.5: build 20181013およびそれ以前
対策バージョン:

    QTS 4.2.6: build 20181026およびそれ以降
    QTS 4.3.3: build 20181029およびそれ以降
    QTS 4.3.4: build 20181026およびそれ以降
            QTS 4.3.5: build 20181110およびそれ以降

 

問題の概要:
対象バージョンのQTSに4件の脆弱性があり、悪意のある攻撃を受ける可能性があります。

  • CVE-2018-14746: 攻撃者によりコマンドを実行されるおそれがあります。If exploited, this vulnerability could allow remote attackers to run arbitrary commands on the NAS.
  • CVE-2018-14747: 攻撃者によりNASのメディアサーバーがクラッシュするおそれがあります。If exploited, this vulnerability could allow remote attackers to crash the NAS media server.
  • CVE-2018-14748: 攻撃者にNASの電源を落とされるおそれがあります。If exploited, this vulnerability could allow remote attackers to power off the NAS.
  • CVE-2018-14749: バッファオーバーフローにより予期しない影響をうけるおそれがあります。

対策

QTSの更新

お使いのNASを最新のバージョンに更新してください。

  1. QTSに管理者としてログインします。
  2. 「コントロールパネル」 > 「システム」 > 「ファームウェア更新」を選択します。
  3. 「ライブ更新」のタブの中の、「更新の確認」を選択します。
  4. 表示される指示に従って更新を行ってください。再起動を促すダイアログが表示された場合には「再起動」を選択してください。

なお、QTSをパソコンにダウンロードして手動で更新することもできます。外部のネットワークに接続されていないなどの理由でライブ更新ができない場合には、手動で更新してください。

ご参考

  • 本脆弱性に関する情報: https://www.qnap.com/ja-jp/security-advisory/nas-201811-22

本情報は2018年11月22日にQNAP社より公開されたものです。