Contact us

在新窗口打开 在新窗口打开

TDSCSA00436: CANVIO网络存储产品存在多个漏洞

2018年07月20日

东芝电子元件及存储装置株式会社

综述

在CANVIO(STOR.E)无线产品和NAS产品(“受影响的网络存储产品”)中存在多种漏洞,包括远程管制代码执行。请停止使用它们,或者应用可以减轻这些漏洞影响的解决方案。

受影响的网络存储产品

产品分类 产品名称
(因地而异)
型号 固件版本
无线产品 CANVIO AeroCast/
CANVIO AeroCast无线HDD
HDTU110*KWC1 1.2.8或更早版本

CANVIO无线适配器/
STOR.E无线适配器/
CANVIO Cast无线适配器

HDWW100*KW*1
尚未运至中国
2.0.7或更早版本
NAS产品 CANVIO个人云/
CANVIO家庭
HDNB1*0*E*1
尚未运至中国
0011.3050或更早版本

影响

受影响的网络存储产品中的samba等OSS模块已经了解包括CVE-2017-7494在内的漏洞。
详细信息如下面的“每个OSS模块清单的漏洞信息”所示。
这些漏洞允许远程攻击者泄漏/修改信息,并可能控制受影响的网络存储产品

<每个OSS模块清单的漏洞信息>

应对方案

  • 您需要了解如果您继续使用使用受影响的网络存储产品,可能会存在影响。
  • 下面的应对方案可以减轻受影响的网络存储产品中这些漏洞的影响。
连接类型 减轻这些漏洞影响的方法
NAS产品  无线产品
通过家庭宽带网络 使用防火墙设备(例如宽带路由器)过滤与漏洞相关的流量。

将无线产品设置为AP模式。*1 *2

通过无线局域网

一定要确认您的局部网络中没有无线通信设备。

  1. 更新修复无线产品WPA2漏洞的新固件。
  2. 将预设密码更改为唯一密码。
通过移动宽带网络 (智能手机、平板电脑、 转配有WWAN的PC等)* *3 断开与WWAN*3的连接

*1: 请务必下载用户手册并在安装前仔细阅读手册。
*2: 请务必更新修复WPA2漏洞的新固件。
*3: WWAN意思是“无线广域网”的简称。
注:东芝电子元件及存储装置株式会社将终止对受影响的网络存储产品的软件更新。

攻击路线

Attack route

无线产品

不同的连接方式

  • 使用“AP模式”(如下所示)来减轻这些漏洞的影响。
  • 请注意在工作站和网桥模式下可能会出现漏洞。

Wireless products

产品名称 手册
CANVIO AeroCast/
CANVIO AeroCast无线HDD
> 下载
CANVIO无线适配器/
STOR.E无线适配器/
CANVIO Cast无线适配器
> 下载
客户问询:

请访问以下网站并选择适用于您所在区域的客户存储解决方案网站。

http://www.toshiba-personalstorage.cn/

To Top
·Before creating and producing designs and using, customers must also refer to and comply with the latest versions of all relevant TOSHIBA information and the instructions for the application that Product will be used with or for.