QSA-22-03
要約
本内容はQNAPが発表したセキュリティアドバイザリ QSA-22-03の弊社による参考訳です。
原文との間で内容に差異がある場合は、原文の内容が優先されます。
原文との間で内容に差異がある場合は、原文の内容が優先されます。
- リリース日 : 2022年2月10日
- セキュリティID : QSA-22-03
- 重大度 : 重大
- CVE識別子 : CVE-2021-44141 | CVE-2021-44142 | CVE-2022-0336
- 影響を受ける製品:QNAP NAS
- ステータス:解決済
概要
Sambaの複数の脆弱性が、QNAP NASに影響を与えることが報告されています。これらの脆弱性が悪用されると、攻撃者は機密情報にアクセスしたり、任意のコマンドを実行したり、既存のサービスになりすましたりすることができます。
- CVE-2021-44141:エクスポートされた共有の外部にあるファイルまたはディレクトリの存在のシンボリックリンクを介した情報漏えい
- CVE-2021-44142:VFSモジュールのvfs_fruitでのヒープ範囲外の読み取り/書き込みの脆弱性により、コードの実行が可能になります
- CVE-2022-0336:アカウントへの書き込み権限を持つSamba ADユーザーは、任意のサービスになりすますことができます
次のバージョンのQTSの脆弱性はすでに修正されています。
- QTS 5.0.0.1932 build 20220129 以降
- QTS 4.5.4.2012 build 20220419 以降
- QTS 4.3.6.1965 build 20220302 以降
- QTS 4.3.4.1976 build 20220303 以降
- QTS 4.3.3.1945 build 20220303 以降
- QuTS hero h5.0.0.1949 build 20220215 以降
- QuTS hero h4.5.4.1951 build 20220218 以降
- QuTScloud c5.0.1.1949 以降
QTS 4.2.6は影響を受けません。
勧告
QNAP NASを保護するには、次のアクションをお勧めします。
- SMB1を無効にします。
- オペレーティングシステムを最新バージョンに更新します。
ご使用のオペレーティングシステムのバージョンでセキュリティ更新プログラムを利用できるようになる前に、次のアクションを実行することをお勧めします。
- すべての共有フォルダへのゲストアクセスを拒否します。
SMB1の無効化
- QTS、QuTS heroまたはQuTScloudにログオンします。
- [コントロールパネル] > [ネットワークとファイル] > [Win / Mac / NFS / WebDAV] > [Microsoftネットワーク]に移動し ます。
- [詳細オプション]をクリックします。
[詳細オプション]ウィンドウが開きます。 - 最下位 SMB バージョンにて、SMB2以上を選択します。
- [適用]をクリックします。
QTS、QuTS hero、またはQuTScloudの更新
- 管理者としてQTS、QuTS heroまたはQuTScloudにログオンします。
- [コントロールパネル] > [システム] > [ファームウェアアップデート]に移動し ます。
- [ライブ更新]で、[更新の確認]をクリック します。
QTS、QuTS hero、またはQuTScloudは、利用可能な最新のアップデートをダウンロードしてインストールします。
ヒント:QNAP Webサイトから更新をダウンロードすることもできます。[サポート] > [ダウンロードセンター]に移動し、特定のデバイスの手動更新を実行します。
共有フォルダへのゲストアクセスの拒否
- QTS、QuTS heroまたはQuTScloudにログオンします。
- [コントロールパネル] > [特権] > [共有フォルダー] > [共有フォルダー]に移動します。
- 共有フォルダを特定します。
- [アクション]で、[共有フォルダーの権限の編集]アイコンをクリックします。[共有フォルダの権限
の編集]ウィンドウが開きます。 - [ゲストアクセス権]にて、[アクセスを拒否]を選択します。
- [適用]をクリックします。
- 共有フォルダごとに手順3〜6を繰り返します。
改訂履歴:
V1.0 (2022年2月10日) - 公開
V1.1 (2022年2月15日) - QTS 5.0.0 セキュリティ アップデート リリース
V1.2 (2022年2月18日) - QTS 4.5.4 および QuTS h5.0.0 セキュリティ アップデート リリース
V1.3 (2022年3月19日) - 他のすべてのプラットフォームがリリース
V1.4