QTS 4.0.7 build 20140412
QNAPでも心臓出血(Heartbleed)
今度はQNAPのNASだ。今こちらでサーバとして使っているQNAPのNAS TS-112のOS・QTS 4.0.5にも、OpenSSLのHeartbleed脆弱性が入っていたのであった。
OpenSSLのバージョンを確認したところ、
# openssl version
OpenSSL 1.0.1e 11 Feb 2013
|
間違いなく心臓出血バージョンであった。と言うわけで、QNAPは次版のQTS 4.1がβテスト中ではあるけれど、急遽ファームウェアアップデートをリリースする事になったようだ。新ファームウェアであるQTS 4.0.7はこちらから自分のNASモデルを選択すればダウンロードサイトに行ける。リリースノートを読むと修正は本当にOpen SSL の Heartbleed脆弱性への対応だけみたいだね。
ファームウェアのアップデートはQTSのコントロールパネルからオンラインアップデートできるけど、ワタシはいつもダウンロードサイトからファームウェアを落としてきて適用させている。と言うのも、QNAPのNASには過去にファームウェアをオンラインアップデートするとぶっ壊れる事があるという致命的な超重大バグがあったらしいのだな。また、QTSのバージョンが4に上がった時、あまりにも以前のバージョンと変わりすぎてしまったので、何となく馴染めなくて以前のバージョンに戻したりした事もあった。
と言うわけで、QNAP TS-112も止血完了かと思ったのだが、ファームウェアアップデート後に OpenSSLのバージョンを確認してみたら、
# openssl version
OpenSSL 1.0.1e 11 Feb 2013
|
変わってないやん!しかし、OpenSSLそれ自体はビルドし直してあるようで、日付が4/12になっていた。
# which openssl
/usr/bin/openssl
# ls -l /usr/bin/openssl
-rwxr-xr-x 1 admin administ 672612 Apr 12 12:33 /usr/bin/openssl*
|
OpenSSL 1.0.1eのソースにHeartbleed脆弱性の修正パッチだけを当ててビルドしなおしたって事かな?(*1)本当に大丈夫なんだろうな?>QNAP
(*1):その後 Heartbleed脆弱性について調べたところ、回避策として -DOPENSSL_NO_HEARTBEATS コンパイルオプションを指定して HeatBeat拡張機能を使わないよう OpenSSL を再ビルドする方法があるとの事。QTS 4.0.7の OpenSSLはこの回避策を施した物ではないかと思われる。なお、Heartbleed脆弱性を修正した最新バージョンは Open SLL 1.0.1gだそうだ。
|