QSA-22-03

• リリース日 : 2022年2月10日
• セキュリティID : QSA-22-03
• 重大度 : 重大
• CVE識別子 : CVE-2021-44141 | CVE-2021-44142 | CVE-2022-0336
• 影響を受ける製品：QNAP NAS
• ステータス：解決済
  

概要

Sambaの複数の脆弱性が、QNAP NASに影響を与えることが報告されています。これらの脆弱性が悪用されると、攻撃者は機密情報にアクセスしたり、任意のコマンドを実行したり、既存のサービスになりすましたりすることができます。

• CVE-2021-44141：エクスポートされた共有の外部にあるファイルまたはディレクトリの存在のシンボリックリンクを介した情報漏えい
• CVE-2021-44142：VFSモジュールのvfs_fruitでのヒープ範囲外の読み取り/書き込みの脆弱性により、コードの実行が可能になります
• CVE-2022-0336：アカウントへの書き込み権限を持つSamba ADユーザーは、任意のサービスになりすますことができます

次のバージョンのQTSの脆弱性はすでに修正されています。

• QTS 5.0.0.1932 build 20220129 以降
• QTS 4.5.4.2012 build 20220419 以降
• QTS 4.3.6.1965 build 20220302 以降
• QTS 4.3.4.1976 build 20220303 以降
• QTS 4.3.3.1945 build 20220303 以降
• QuTS hero h5.0.0.1949 build 20220215 以降
• QuTS hero h4.5.4.1951 build 20220218 以降
• QuTScloud c5.0.1.1949 以降

QTS 4.2.6は影響を受けません。

勧告

QNAP NASを保護するには、次のアクションをお勧めします。

• SMB1を無効にします。
• オペレーティングシステムを最新バージョンに更新します。

ご使用のオペレーティングシステムのバージョンでセキュリティ更新プログラムを利用できるようになる前に、次のアクションを実行することをお勧めします。

• すべての共有フォルダへのゲストアクセスを拒否します。

SMB1の無効化

1. QTS、QuTS heroまたはQuTScloudにログオンします。
2. [コントロールパネル] > [ネットワークとファイル] > [Win / Mac / NFS / WebDAV] > [Microsoftネットワーク]に移動し ます。
3. [詳細オプション]をクリックします。
   [詳細オプション]ウィンドウが開きます。
4. 最下位 SMB バージョンにて、SMB2以上を選択します。
5. [適用]をクリックします。