Shellshock脆弱性について

報道関係者各位

2014年10月15日
株式会社フォースメディア

Shellshock脆弱性について

各種メディアから報じられている「Shellshock」と呼ばれるbashの脆弱性（CVE-2014-6271, CVE-2014-7169, CVE-2014-6277, CVE-2014-6278, CVE-2014-7186, CVE-2014-7187）について、 弊社取り扱いのQNAP社NAS製品においても該当の脆弱性を有しているバージョンがあり、未対策のままではシステムの改ざんや情報漏洩等の事故につながる可能性がございます。QNAP社NAS製品をご利用のお客様に於かれましては、必ず以下の内容をご一読いただき、然るべき対処を施していただきますようお願い申し上げます。

1. 脆弱性の影響範囲

TurboNASシリーズ製品（※下記機種を除く全製品）による公開ネットワークサービスによる接続が対象となります。グローバルに公開されていない、外部から隔離された環境に設置されている場合、影響はほぼありませんが、安全確保のため対策を施していただくことをお勧めいたします。

※TS-201, 101, 100

2. 脆弱性の内容

悪意ある攻撃者にこの脆弱性を利用された場合、Shell（bash）が提供するコマンドを外部から実行される可能性があり、システムの改ざんや、NASアプリケーションの設定値やユーザー名など重要情報が漏洩する可能性があります。

3. 脆弱性への対策方法

QTSバージョン4.1.1 Build 1003 以降のファームウェアへ更新してください。一部の古いモデルにおいて、本日時点では未公開のものがございますが、順次公開してまいります。

なお、運用面などの事情により、QTS 3.x以下のバージョンの継続利用をご希望されるお客様においては、QTS 3.8.3または3.8.4に更新の上、対策パッチQfix 1.0.2 Build 1008を適用してください。

本件に関するお問い合わせにつきましては、弊社カスタマーセンターまでお問い合わせください。

お問い合わせ

株式会社フォースメディア　カスタマーセンター

Eメール：お問い合わせフォーム

〒141-0022　東京都品川区東五反田1-13-12　いちご五反田ビル4F
TEL：03-5798-5609 FAX：03-5798-5602

免責事項

本書記載の対策実施の如何にかかわらず、本件脆弱性による重要情報の漏洩、また関連する損害について、弊社ならびにQNAP Systems, Inc.では一切その責任を負いかねますので、ご了承ください。