絖綛 N@i.jp  昨日:00018769
 今日:00009294
 総計:00133954
keywords
管理者専用
  Post   Add link   Control Panel 































新しいトピック
最新:10/01 12:07


新しいコメント
最新:07/28 16:47






管理人へMAIL

プライバシーポリシー

QTS 4.0.7 build 20140412

QNAPでも心臓出血(Heartbleed)


 今度はQNAPのNASだ。今こちらでサーバとして使っているQNAPのNAS TS-112のOS・QTS 4.0.5にも、OpenSSLのHeartbleed脆弱性が入っていたのであった。
 OpenSSLのバージョンを確認したところ、
# openssl version
OpenSSL 1.0.1e 11 Feb 2013
間違いなく心臓出血バージョンであった。と言うわけで、QNAPは次版のQTS 4.1がβテスト中ではあるけれど、急遽ファームウェアアップデートをリリースする事になったようだ。新ファームウェアであるQTS 4.0.7はこちらから自分のNASモデルを選択すればダウンロードサイトに行ける。リリースノートを読むと修正は本当にOpen SSL の Heartbleed脆弱性への対応だけみたいだね。

 ファームウェアのアップデートはQTSのコントロールパネルからオンラインアップデートできるけど、ワタシはいつもダウンロードサイトからファームウェアを落としてきて適用させている。と言うのも、QNAPのNASには過去にファームウェアをオンラインアップデートするとぶっ壊れる事があるという致命的な超重大バグがあったらしいのだな。また、QTSのバージョンが4に上がった時、あまりにも以前のバージョンと変わりすぎてしまったので、何となく馴染めなくて以前のバージョンに戻したりした事もあった。

 と言うわけで、QNAP TS-112も止血完了かと思ったのだが、ファームウェアアップデート後に OpenSSLのバージョンを確認してみたら、

# openssl version
OpenSSL 1.0.1e 11 Feb 2013

変わってないやん!しかし、OpenSSLそれ自体はビルドし直してあるようで、日付が4/12になっていた。

# which openssl
/usr/bin/openssl
# ls -l /usr/bin/openssl
-rwxr-xr-x    1 admin    administ    672612 Apr 12 12:33 /usr/bin/openssl*

 OpenSSL 1.0.1eのソースにHeartbleed脆弱性の修正パッチだけを当ててビルドしなおしたって事かな?(*1)本当に大丈夫なんだろうな?>QNAP


(*1):その後 Heartbleed脆弱性について調べたところ、回避策として -DOPENSSL_NO_HEARTBEATS コンパイルオプションを指定して HeatBeat拡張機能を使わないよう OpenSSL を再ビルドする方法があるとの事。QTS 4.0.7の OpenSSLはこの回避策を施した物ではないかと思われる。なお、Heartbleed脆弱性を修正した最新バージョンは Open SLL 1.0.1gだそうだ。


< 過去の記事 [ 4月の 全てのカテゴリ リスト ] 新しい記事 >

2014 calendar
4月
12345
6789101112
13141516171819
20212223242526
27282930


掲示板
最新:08/15 17:19


GsBlog was developed by GUSTAV, Copyright(C) 2003, Web Application Factory All Rights Reserved.