外部から乗っ取られる可能性がある深刻な脆弱性がbashに見つかりました。
”Shellshock”と呼ばれる、Heartbleedを超えるとも言われる申告な脆弱性のニュースがたくさん出たので、ご存知の方も多いでしょう。
すでに解説はたくさんありますので、ここでの説明は省略します。
- 詳しい解説
Shellshock: Bash Bug 脆弱性について知っておくべきこと - Symantec Connect
この脆弱性は、サーバーを公開しているエンタープライズに限った話ではなく、Web経由でアクセス可能なNASを利用している一般ユーザーにも深刻な影響を与えています。
- bashの脆弱性を抱えるNASへの攻撃、日本や韓国が標的に - ITmedia エンタープライズ
ITmediaによると、FireEyeによりQNAP NASを狙った攻撃が確認されているとのこと。
<追記>
Shellshockに対応したファームウェア”QTS 4.1.1 Build 1003”がリリースされています。
→QNAP、Bashの脆弱性”Shellshock”を修正した、”QTS 4.1.1 Build 1003”をリリース!
<追記ここまで>
すでに対応ファームウェアは公開されていますので、QNAPユーザーは今すぐ最新ファームウェアを確認し、アップデートを行って欲しいと思います。
…今度のバージョンでは、GNU Bash 環境変数コマンドインジェクションの脆弱性 (CVE-2014-6271 と CVE-2014-7169) が修正されています。この脆弱性は「Shellshock」とも呼ばれ、攻撃者が UNIX/Linux ベースのシステムをリモートコントロールする可能性があります。 …
QNAP のセキュリティーラボは QTS バージョン 4.1.1 Build 0927 を検証し、CVE-2014-6271 と CVE-2014-7169 の脆弱性が修正されていることを確認しました。 Turbo NAS をご利用のお客様には、Turbo NAS ユニットをこの QTS バージョンに更新することを強くお勧めします。
GNU Bash には依然として CVE-2014-6277 の問題が潜在的に残っています。この解消は確認されていません。QNAP は引き続き GNU が提供するソリューションを監視し、対応するホットフィックスをリリースします。
~リリースより抜粋~
リリースではこうアナウンスされていますが、10月1日現在、CVE-2014-6277を含む脆弱性を修正したパッチ”Qfix for Bash security patch”が全モデル向けにリリースされています。
ダウンロードセンターにて確認後すぐにインストールしましょう。
アップデート手順
ダウンロードセンターから利用中のモデルを確認しましょう
4.1.1 build 0927をダウンロードし、ファームウェアアップデートを行います
※4.1.1は複数のbuildが存在するので、0927または最新のものを利用しましょう
4.1.1 build 0927アップデート後、Qfixをインストールしましょう
Qfixは、ファームウェアアップデートからインストールすればOKです。
※Qfixをインストールしても、バージョン表記は変わらないようです。
IoTが進みつつあるなか、こういった脆弱性が出ると不安になりますね。
Webに利用しているデバイス(NASなど)を公開している場合は、最新のファームウェアを常に確認したいところです。