A QTS 4.0 és 4.1 frissítendő, a 3.8 és elődei nem érintettek az OpenSSL hibában. A frissítés pár kattintás.

Péntek óta letölthető a firmware frissítés azokhoz QNAP Turbo NAS-okhoz, melyek érintettek az OpenSSL Heartbleed bug (CVE-2014-0160) sérülékenység kapcsán. A QTS operációs rendszer 4.0-ás és 4.1-es verziója érintett és frissítendő, a korábbi kiadások nem használták a kompromittált kódot.

Amint azt a Common Vulnerabilities and Exposures weboldal részletesen leírja, az OpenSSL 1.0.1 könyvtár kiadásának TLS and DTLS implementációja (a javított 1.0.1g verzió előtt) nem megfelelően dolgozza fel a Hartbleed Extension csomagokat, ez pedig lehetővé teszi a támadók számára, hogy privát titkosítókulcsokhoz és azokkal érzékeny információkhoz jussanak.

A QNAP minden érintett Turbo NAS rendszer tulajdonosának ajánlja a mielőbbi firmware frissítést, mely letölthető a QNAP weboldaláról. Ezen kívül javasolja, hogy a meglévő SSL CSR kulcsok frissítését kérjék biztonsági szolgáltatójuktól, hogy az esetleg már kikerült privát kulcsok használatával ne élhessenek vissza a támadók.

Hogyan tehető biztonságossá a NAS? A szükséges firmware frissítések letöltését először is felajánlja a rendszer, mikor legközelebb belépünk a frissítés megjelenését követően:

Az Igen gombbal máris a frissítés letöltéséhez jutunk és az Alkalmaz gombbal indul is a művelet. Ha itt rossz gombot nyomnánk meg, akkor a Turbo NAS vezérlőpultján a menü struktúrában a Rendszerbeállítások fejezetben a Belső vezérlőprogram frissítése pontra kattintva juthatunk ugyanoda:

Az Alkalmaz gomb után egy kis bitkukac nézegetés jön, majd egy megerősítő kérdés, miszerint mehet-e az újraindítás. Persze előtte minden folyó ügyletet zárjunk le.

Az újraindítás nem egy pár másodperces folyamat lesz és persze a firmware frissítés idejére különösen hasznos az UPS (szünetmentes táp).