| タイトル | QNAP TS-239 Pro などにおけるパスフレーズ入力を回避される脆弱性 |
|---|---|
| 概要 | QNAP TS-239 Pro および TS-639 Pro は、文書化されていないリカバリー鍵を作成し、フラッシュメモリの ENCK 変数に格納するため、パスフレーズ入力を回避される、およびハードドライブを解読される脆弱性が存在します。 |
| 想定される影響 | ローカルユーザにより、ENCK 変数を読まれる、鍵を非難読化される、および cryptsetup luksOpen コマンドを起動されることで、パスフレーズ入力を回避される、およびハードドライブを解読される可能性があります。 |
| 対策 | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| 公表日 | 2009年9月21日0:00 |
| 登録日 | 2012年12月20日19:28 |
| 最終更新日 | 2012年12月20日19:28 |
| CVSS2.0 : 警告 | |
| スコア | 5.9 |
|---|---|
| ベクター | AV:L/AC:M/Au:N/C:C/I:P/A:P |
| QNAP Systems |
| ts-239 pro turbo nas 2.1.7 0613, 3.1.0 0627 および 3.1.1 0815 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2012年12月20日] 掲載 |
2018年2月17日10:37 |
| 概要 | The QNAP TS-239 Pro and TS-639 Pro with firmware 2.1.7 0613, 3.1.0 0627, and 3.1.1 0815 create an undocumented recovery key and store it in the ENCK variable in flash memory, which allows local users to bypass the passphrase requirement and decrypt the hard drive by reading this variable, deobfuscating the key, and running a cryptsetup luksOpen command. |
|---|---|
| 公表日 | 2009年9月22日4:30 |
| 登録日 | 2021年1月29日13:23 |
| 最終更新日 | 2018年10月11日4:43 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:h:qnap:ts-239_pro_turbo_nas:2.1.7_0613:*:*:*:*:*:*:* | |||||
| cpe:2.3:h:qnap:ts-239_pro_turbo_nas:3.1.0_0627:*:*:*:*:*:*:* | |||||
| cpe:2.3:h:qnap:ts-239_pro_turbo_nas:3.1.1_0815:*:*:*:*:*:*:* | |||||
| cpe:2.3:h:qnap:ts-639_pro_turbo_nas:2.1.7_0613:*:*:*:*:*:*:* | |||||
| cpe:2.3:h:qnap:ts-639_pro_turbo_nas:3.1.0_0627:*:*:*:*:*:*:* | |||||
| cpe:2.3:h:qnap:ts-639_pro_turbo_nas:3.1.1_0815:*:*:*:*:*:*:* | |||||