ApacheLog4jライブラリの脆弱性の調査

ApacheLog4jライブラリの脆弱性の調査
Release date: December 14, 2021
Security ID: QSA-21-58
Severity:
CVE identifier: CVE-2021-44228
Affected products: QNAP NAS running certain applications
Status: 調査中

【概要】
Apache Log4jJavaロギングライブラリに影響を与える脆弱性が報告されています。この脆弱性が悪用されると、攻撃者は任意のコードを実行する
可能性があります。この脆弱性は2021年12月9日に公開されました。

CVE-2021-44228:Apache Log4j 2 JNDI機能は、攻撃者が制御するLDAPおよびその他のJNDI関連のエンドポイントを保護しません。

QTS、QuTSヒーロー、QESオペレーティングシステムは影響を受けないと判断しました。
Javaランタイム環境に依存するアプリケーションの場合、現在の調査結果は次のとおりです。

QNAPによって維持されるアプリケーション:

Qsirch-影響を受けません。

サードパーティプロバイダーによって維持されているアプリケーション:

MinimServer(Simon Nash)-影響を受けません
Tomcat(Adnovea)-調査中
Tomcat8(Adnovea)-調査中
SuperSync iTunes Media Manager(SuperSync)-調査中
WorldCard Team(PenPower Technology Ltd。)-調査中

【今後の対応】
まだ調査中のアプリケーションを実行しているユーザーには、デバイスを保護するために次のアクションを実行することを強くお勧めします。

アプリケーションの一時停止
NASをインターネットに公開したり、デフォルトのシステムポート番号443および8080の使用を避けたりしないでください。

デバイスを保護し、NASセキュリティを強化するために下記作業を推奨します。

アプリケーションの停止方法

管理者としてQTSまたはQuTSヒーローにログオンします。
App Centerを開き、をクリックします。
検索ボックスが表示されます。
アプリケーション名を入力します。
アプリケーションが検索結果に表示されます。
アプリケーションアイコンの下にある矢印をクリックして、[停止]を選択します。
QTSまたはQuTSヒーローがアプリケーションを停止します。

システムポート番号の変更方法

管理者としてQTSまたはQuTSヒーローにログオンします。
[コントロールパネル]> [システム]> [一般設定]> [システム管理]に移動します。
新しいシステムポート番号を指定します。
警告:443または8080は使用しないでください。
[適用]をクリックします。
QTSまたはQuTSヒーローは、新しいシステムポート番号を適用します。

2021.12.16