Log4Shell 肆虐,香港電腦保安事故協調中心已經呼籲系統管理員要盡快修補漏洞。但更令人擔心的是為數眾多,不少人放在家中的 NAS ,因為它其實也是一部伺服器。早前 QNAP 就曾成為勒索軟件的攻擊對象。那到底香港兩個受歡迎 NAS 品牌 QNAP 和 Synology 的 NAS 會否也受 Log4Shell 漏洞影響?
QNAP
先說 QNAP ,據 QNAP 的安全諮詢網頁指出,廠方仍對 Apache Log4j 漏洞的影響作調查,目前已經證實的是 QTS 、 QuTS 和 QES 作業系統均不受影響,但至於倚賴 Java Runtime 環境的應用程式中,由 QNAP 維護的 Qsirch 全文檢索工具未受影響,而第三方維護的應用軟件當中,音樂伺服器 MinimServer 亦不受影響,但網頁伺服器兼 Servlet 容器 Tomcat 和 Tomcat8 、 iTunes 媒體管理員 SuperSync 和企業名片及人脈管理軟件 WorldCard Team 有否受影響則仍在調查。
QNAP 在網頁上呼籲用戶在調查完成之前暫時關閉有關軟件,並且不要將 NAS 暴露於互聯網,或者避免使用系統預設的 80 和 443 埠。
Synology
Synology 的報告就很簡潔:直接指出 DSM 6.2 和 DSM 7.0 作業系統均不受影響。不過就未有說明「套件中心」裡的套件會不會受影響。