SynologyとQNAPのNASにリモートコード実行の脆弱性。Netatalkに起因

セキュリティ

Synology NAS

SynologyとQNAPは、同社製NASにリモートコード実行の脆弱性があることを発表しました。

Synologyによると、同社製NAS製品等に含まれるNetatalkと呼ばれる機能に複数の脆弱性があり、悪用されるとリモートでコードを実行される恐れがあるとのこと。脆弱性のCVE-IDは以下。

脆弱性の影響を受けるのは以下のSynology DiskStation Manager (DSM)とSynology Router Manager (SRM)オペレーティングシステム(OS)を搭載した製品。

  • DSM 7.1
  • DSM 7.0
  • DSM 6.2
  • VS Firmware 2.3
  • SRM 1.2

このうち、DSM 7.1に関してはすでに修正済みで、7.1-42661-1(およびそれ以降)にアップデートすることで脆弱性の影響を受けなくなります。そのほかのOSについては、現在、修正中とのことです。

また、QNAPの製品も上記と同じ脆弱性の影響を受けます。影響を受けるのは以下のOSを搭載した製品。

  • QTS 5.0.x以降
  • QTS 4.5.4以降
  • QTS 4.3.6以降
  • QTS 4.3.4以降
  • QTS 4.3.3以降
  • QTS 4.2.6以降
  • QuTS hero h5.0.x以降
  • QuTS hero h4.5.4以降
  • QuTScloud c5.0.x

このうちQTS 4.5.4に関してはすでに修正済みで、QTS 4.5.4.2012 build 20220419(およびそれ以降)にアップデートすることで脆弱性の影響を受けなくなります。そのほかのOSについては、現在、修正中とのことです。また、この脆弱性の影響を軽減するために、AFPを無効にするよう、QNAPはアドバイスしています。

Posted by にっち