GHOST脆弱性について
報道関係者各位
2015年2月9日
株式会社フォースメディア
GHOST脆弱性について
各種メディアから報じられている「GHOST」と呼ばれるGNU Cライブラリ(glibc)の脆弱性(CVE-2015-0235)について、弊社取り扱いのQNAP社TuboNAS製品(以下TurboNAS)においても該当の脆弱性を有しており、未対策のままではシステムの改ざんや情報漏洩等の事故につながる可能性がございます。TurboNAS製品をご利用のお客様に於かれましては、必ず以下の内容をご一読いただき、対策方法として記載している対処を実施していただきますようお願い申し上げます。
1. 脆弱性の影響範囲
TurboNASシリーズ全製品によるVPNサーバーおよびクライアントサービスによる接続が対象となります。
2. 脆弱性の内容
悪意ある攻撃者にこの脆弱性を利用された場合、QTS(TurboNASのファームウェア)が実装するアプリケーションを外部から実行される可能性があり、システムの改ざんや、NASアプリケーションの設定値やユーザー名など重要情報が漏洩または、外部から削除される可能性があります。
3. 脆弱性への対策方法
VPNサーバーサービスおよびVPNクライアントサービスを停止してください。非常にクリティカルな脆弱性であるため、本対策を実施していただくことを強く推奨いたします。
なお、QNAP社からのアナウンスでは本書発行時点では、Webサーバー機能やFTP, SSH, CIFSサービス等に影響はないとされておりますが、これらのサービスをグローバルに公開されている場合は、一時的に公開を停止していただくことをおすすめいたします。
また、パッチやアップデート等の根本対策はQNAP社にて準備中であり、後日公開予定となっております。弊社でも公開され次第、再度お知らせいたします。
※2015年3月23日更新
本件脆弱性への対策がなされた最新ファームウェア v4.1.3 Build 0313がリリースされました。メーカーウェブサイトよりダウンロードして、アップデートしてください。
本件に関するお問い合わせにつきましては、弊社カスタマーセンターまでお問い合わせください。
お問い合わせ
株式会社フォースメディア
カスタマーサポート
Eメール:お問い合わせフォーム
〒141-0022 東京都品川区東五反田1-13-12 いちご五反田ビル4F
TEL:03-5798-5609 FAX:03-5798-5602
http://www.forcemedia.co.jp/
免責事項
本書記載の対策実施の如何にかかわらず、本件脆弱性による重要情報の漏洩、また関連する損害について、弊社ならびにQNAP Systems, Inc.では一切その責任を負いかねますので、ご了承ください。