QNAPでも心臓出血（Heartbleed）

　今度はQNAPのNASだ。今こちらでサーバとして使っているQNAPのNAS TS-112のOS・QTS 4.0.5にも、OpenSSLのHeartbleed脆弱性が入っていたのであった。
　OpenSSLのバージョンを確認したところ、

# openssl version OpenSSL 1.0.1e 11 Feb 2013

間違いなく心臓出血バージョンであった。と言うわけで、QNAPは次版のQTS 4.1がβテスト中ではあるけれど、急遽ファームウェアアップデートをリリースする事になったようだ。新ファームウェアであるQTS 4.0.7はこちらから自分のNASモデルを選択すればダウンロードサイトに行ける。リリースノートを読むと修正は本当にOpen SSL の Heartbleed脆弱性への対応だけみたいだね。

　ファームウェアのアップデートはQTSのコントロールパネルからオンラインアップデートできるけど、ワタシはいつもダウンロードサイトからファームウェアを落としてきて適用させている。と言うのも、QNAPのNASには過去にファームウェアをオンラインアップデートするとぶっ壊れる事があるという致命的な超重大バグがあったらしいのだな。また、QTSのバージョンが4に上がった時、あまりにも以前のバージョンと変わりすぎてしまったので、何となく馴染めなくて以前のバージョンに戻したりした事もあった。

　と言うわけで、QNAP TS-112も止血完了かと思ったのだが、ファームウェアアップデート後に OpenSSLのバージョンを確認してみたら、

# openssl version
OpenSSL 1.0.1e 11 Feb 2013

変わってないやん！しかし、OpenSSLそれ自体はビルドし直してあるようで、日付が4/12になっていた。

# which openssl
/usr/bin/openssl
# ls -l /usr/bin/openssl
-rwxr-xr-x    1 admin    administ    672612 Apr 12 12:33 /usr/bin/openssl*

　OpenSSL 1.0.1eのソースにHeartbleed脆弱性の修正パッチだけを当ててビルドしなおしたって事かな？(*1)本当に大丈夫なんだろうな？＞QNAP

内ト / Apr 18th, 2014 20:48 / [ 編集 ] [ コメントする ] [ TrackBack(0) ]