国内正規代理店「TEKWIND」のFAQより
・現在、各製品を対象としたBeta版Firmware 4.0.5/4.1.0がQNAPより提供開始されており、こちらは脆弱性がございません。
・Firmware3.x.xにも本脆弱性は存在しません。
・本脆弱性はTCP80番ポートに対する不正なアクセスにより発生いたします。
http://www.tekwind.co.jp/faq/QNA/entry_206.php
英語版は「QTS4.1」がリリースされているようです。
QNAP QTS 4.0.3 およびそれ以前のバージョンに、ディレクトリトラバーサルの脆弱性が存在すると報告されています。
http://jvn.jp/cert/JVNVU95681821/
◇概要
QNAP Systems, Inc. が提供する QNAP QTS には、ディレクトリトラバーサルの脆弱性が存在します。
◇影響を受けるシステム
QNAP QTS 4.0.3 およびそれ以前
◇詳細情報
QNAP Systems, Inc. が提供する QNAP QTS には、CGI スクリプトの処理に問題があり、ディレクトリトラバーサル (CWE-22) の脆弱性が存在します。
◇想定される影響
遠隔の第三者によって、情報を取得される可能性があります。
◇対策方法
開発者が提供する情報をもとに、最新版へアップデートしてください。
QNAP TS-110用の新しいファーウェアがアップされていました。
TS-110 TurboNAS 4.0.2 build0726 160MB 2013/07/29
[Version & Build]
QTS 4.0.2 Build0726
[New Features]
– QTS performance enhancement
– Photo Station
1. More pictures can be selected during photo import/upload
2. Full screen support for slideshow
3. Multiple pictures can be geotagged at the same time
4. Deleting a picture will no longer refresh the page
5. Photo file path is now linked to File Station for direct opening
6. Adds password prompt when accessing Qsync or Private Collection
7. On-the-fly video transcoding for TS-x59, TS-x69
8. Performance enhancement
9. Adds the ability to rotate the transcoded video files
– Setup: add an option to pre-install home or business-oriented features during first time setup for TS-x69 series
– Add the ability to clear partition in reset option (e.g. after reboot, the NAS enters Quick Setup status)
– Update OpenSSL to 1.0.1e
[Changes]
– Change SNMP output values from integers to strings
– Download Station: add a disclaimer for the first time usage
[Major Issues Fixed]
– Unable to login to QTS under some circumstances
– The destination folder could not be displayed in Rsync backup to Deltacopy Server
– Symform could not be installed successfully
– The HDD standby may not be functional in some circumstances
– Advanced Folder Permission could not be applied if the name of subfolder is “A&B”
– A guest folder was created automatically during anonymous FTP login
– [Photo Station] User could not enter private collection if no password was set
– Eaton Ellipse Max 600 UPS could not be recognized
– [File Station] Uploading files greater than 2GB could fail
– Google Drive Sync was unable to sync after the firmware update
2年ちょっと前から、自宅のNAS(Network Attached Storage)としてQNAP TS-112を使用しています。
MacintoshやWindows PCのデータ保存用だけでなく、テレビ(REGZA)の録画や、PS3での再生用ファイル保存等、ホームネットワークに欠かせない存在となっています。
QNAPは国産メーカーでは無いので、取り扱っている店も少なく日本ではユーザーの情報も少ないのですが、海外では評価の高いNASです。
TS-112はQNAPのNASラインナップのなかでは一番小さなモデルで、一般的な外付けHDと変わらない程度の大きさですが、十分な機能を備えています。
QNAPのNASはアプリケーションを自由に追加できるのが特徴で、firmware3.8から採用された「Video Station」を使用すると、簡単にYou Tubeのような動画Webサイトを公開する事ができます。私もホームビデオ等を登録して、家庭内の端末からいつでも観れるようにしてあります。
また、NASとしての設定や管理も簡単で、最近では指定したYou Tubeの動画ファイルをNAS自身がダウンロードしてくれる「HappyGet」を使い始めました。
(Chromeの拡張機能としてインストール。MacintoshやPCをシャットダウンしても、NAS側が自動にダウンロードしてくれます)
久しぶりに管理画面にログインしたところ、新しいfirmwareが公開されていましたので、早速アップデートしました。
(QNAPのシステム設定で「ライブ更新」を選択しておけば、NAS Web管理にログインする時にダウンロード可能な新しいfirmware Versionがあるかどうか、自動的に確認されます)
TS-112 TurboNAS 3.8.3 build0426 146MB 2013/04/26
[Version]
3.8.3 build0426
Change log:
– Support Seagate 4TB Backup Plus 4TB USB 3.0 drive for Mac (STCB4000103)
– Updated the time zone of Minsk to GMT+03:00
– Removed Windows Live Messenger notification support due to Microsoft service termination
– Improved RTRR Real-time Mode stability while uploading large amounts of files concurrently
– Improved the compatibility with Citrix Xen Server if CHAP authentication is used
– Improved the stability of VAAI iSCSI
– Fixed the PDF or Adobe-related file, and ChronoSync (*.sync) file visibility issue with AFP connection
– Fixed the color label issue on AFP connection
– Fixed the auto-rescan issue when the NAS restarts if the Media Library is set in Manual Scan mode
– Fixed the login issue of new user accounts from Standalone Application Users in Multimedia/Photo/Music Stations
– Fixed the public album visibility issue in Multimedia Station when a new user account from System Users logs in
– Fixed the Wake-On-LAN (WOL) issue on TS-509/809 Pro
– Fixed inaccurate CPU temperature detection on some models
– Fixed the system error while deleting a new user account via CSV User Import function with Advanced Folder Permission enabled
– Fixed the Microsoft Networking Host Access Control wildcard issue in specific network configuration
– Fixed Amazon S3 backup issue when the file name contains [ or ]
– Fixed the Autorun.sh compatibility issue on ARM-based NAS
– Fixed the issue for truncated local & domain group name and permission settings if the name is over 40 characters long
– Fixed the “Relaunch upsd” issue
Note: TS-112, TS-212, TS-412 firmware cannot be downgraded after upgrading to firmware 3.8.3 or later