QNAP釋出新版 QTS 韌體，修復 GNU Bash 安全漏洞

以下為新聞稿...去網址板XD

威聯通科技釋出新版 QTS 韌體，修復 GNU Bash 安全漏洞

台灣，台北，2014 年 9 月 29 日 – 威聯通®科技 (QNAP® Systems, Inc.) 今日釋出新版 QTS 韌體以修復 GNU Bash 的安全性漏洞 CVE-2014-6271 和 CVE-2014-7169 (亦稱為 Shellshock)。駭客能利用此漏洞改變環境變數，藉以透過遠端取得安裝 UNIX/ Linux 作業系統的設備控制權，Turbo NAS 在某些情況下也可能受到影響。

威聯通的安全實驗室已驗證並確認 QTS 4.1.1 Build 0927 版本已有效修復 CVE-2014-6271 和 CVE-2014-7169 安全性漏洞，並強列建議所有 Turbo NAS 使用者立即更新此版韌體。

GNU Bash 仍然存在 CVE-2014-6277 安全漏洞風險，至今尚未修復。威聯通將密切關注 GNU 是否釋出修復程式，並即時推出更新版本。

QTS 4.1.1 Build 0927 現可於 QTS 管理介面及威聯通官方網站下載中心下載使用，適用 Turbo NAS 型號如下：

TS-EC880 Pro, TS-EC1080 Pro, TS-EC880U-RP, TS-EC1280U-RP, TS-EC1680U-RP, TS-EC2480U-RP
TS-879 Pro, TS-1079 Pro, TS-879U-RP/EC879U-RP , TS-1279U-RP/EC1279U-RP, TS-1679U-RP/EC1679U-RP, SS-EC1279U-SAS-RP, SS-EC1879U-SAS-RP, SS-EC2479U-SAS-RP
TS-470, TS-470 Pro, TS-670, TS-670 Pro, TS-870, TS-870 Pro
TS-1270U-RP, TS-870U-RP, TS-1269U-RP,TS-869U-RP, TS-269 Pro/269L, TS-469 Pro/469L, TS-469U-RP/SP, TS-569 Pro/569L, TS-669 Pro/669L, TS-869 Pro/869L
SS-453 Pro, SS-853 Pro, TS-253 Pro, TS-453 Pro, TS-653 Pro, TS-853 Pro
TS-251, TS-451, TS-651, TS-851
HS-210, HS-251, IS-400 Pro
TS-121, TS-221, TS-421, TS-421U
TS-120, TS-220, TS-420, TS-420U
TS-119/119P+/119P II, TS-219/219P/219P+/219P II, TS-419P/419P+/419P II, TS-419U/419U+/419U II
TS-259 Pro/259 Pro+, TS-459 Pro/459 Pro+/459 Pro II, TS-459U-RP/SP/459U-RP+/SP+, TS-509 Pro, TS-559 Pro/559 Pro+/559 Pro II, TS-659 Pro/659 Pro+/659 Pro II, TS-859 Pro/859 Pro+, TS-859U/859U+
SS-439 Pro, SS-839 Pro, TS-239 Pro, TS-239H, TS-239 Pro II, TS-239 Pro II+, TS-439 Pro, TS-439 Pro II, TS-439 Pro II+, TS-439U RP/SP, TS-639 Pro
TS-110, TS-210, TS-410, TS-410U
TS-112, TS-212/212P/212-E, TS-412, TS-412U
TS-809 Pro, TS-809U-RP
使用者若有任何問題，請連繫威聯通技術服務支援

.............................................以下為測試結果......................................
其實在28號就看到了,看完討論板沒有傳出災情之後就用手動更新了
目前更新過後狀況良好~

Bash版本從version 3.2.0(13)更新到3.2.53(4)

更新前用
env X="() { :;} ; echo busted" /bin/sh -c "echo completed"
會顯示
busted
completed

更新後則是顯示
/bin/sh: warning: X: ignoring function definition attempt
/bin/sh: error importing function definition for `X'
completed

2014-09-29 21:02 #1

文章關鍵字

Hsinchu@Taiwan

43分

2樓

Hsinchu@Taiwan

個人積分：43分

文章編號：52388670

參考看看：http://www.qnap.com/i/cht/news/con_show.php?op=showone&cid=338

eugenelu

60分

3樓

eugenelu

個人積分：60分

文章編號：52396990

咦？不是全系列產品都有喔？
有點奇怪⋯⋯

Est.Liu

22分

樓主

Est.Liu

個人積分：22分

文章編號：52400189

我猜想...
如果預設的Shell不是bash
或是版本不在此次影響範圍的就不會有吧.

此次bash影響範圍
1.14.0
1.14.1
1.14.2
1.14.3
1.14.4
1.14.5
1.14.6
1.14.7
2.0
2.01
2.01.1
2.02
2.02.1
2.03
2.04
2.05
2.05:a
2.05:b
3.0
3.0.16
3.1
3.2
3.2.48
4.0
4.0:rc1
4.1
4.2
4.3

行動店員

60分

5樓

行動店員

個人積分：60分

文章編號：52413527

昨天看到這個消息之後，跑去更新家裡的老Qnap Nas韌體，更新好之後，若是有裝QPKG套件的話，請用可以連ssh的程式連進去nas裡面，打ipkg upgrade就可以看到bash的版本會進行新版的更新。

我的Qnap nas是4.1版的，無法使用自動更新，必須手動下載最新的4.1.1版韌體進行手動更新。