SynologyとQNAPのNASにリモートコード実行の脆弱性。Netatalkに起因
SynologyとQNAPは、同社製NASにリモートコード実行の脆弱性があることを発表しました。
Synologyによると、同社製NAS製品等に含まれるNetatalkと呼ばれる機能に複数の脆弱性があり、悪用されるとリモートでコードを実行される恐れがあるとのこと。脆弱性のCVE-IDは以下。
脆弱性の影響を受けるのは以下のSynology DiskStation Manager (DSM)とSynology Router Manager (SRM)オペレーティングシステム(OS)を搭載した製品。
- DSM 7.1
- DSM 7.0
- DSM 6.2
- VS Firmware 2.3
- SRM 1.2
このうち、DSM 7.1に関してはすでに修正済みで、7.1-42661-1(およびそれ以降)にアップデートすることで脆弱性の影響を受けなくなります。そのほかのOSについては、現在、修正中とのことです。
また、QNAPの製品も上記と同じ脆弱性の影響を受けます。影響を受けるのは以下のOSを搭載した製品。
- QTS 5.0.x以降
- QTS 4.5.4以降
- QTS 4.3.6以降
- QTS 4.3.4以降
- QTS 4.3.3以降
- QTS 4.2.6以降
- QuTS hero h5.0.x以降
- QuTS hero h4.5.4以降
- QuTScloud c5.0.x
このうちQTS 4.5.4に関してはすでに修正済みで、QTS 4.5.4.2012 build 20220419(およびそれ以降)にアップデートすることで脆弱性の影響を受けなくなります。そのほかのOSについては、現在、修正中とのことです。また、この脆弱性の影響を軽減するために、AFPを無効にするよう、QNAPはアドバイスしています。