2025年7月8日、MicrosoftはKB 5062572(Windows Server 2008 R2から2022のドメインコントローラーに適用)をリリースし、CVE‑2025‑49716への対応およびNetlogon RPCにおけるアクセス検証の強化を行いました。
詳細については、公式のMicrosoftドキュメントをご参照ください:
確かに、私たちも影響を受けています。少なくとも先週の火曜日(17日)以降、ユーザーは共有にアクセスできなくなっています。IDマップには「ad」を使用しており、RIDではありません。
ログに表示されているエラーは以下の通りです。
ホスト myDC.mysite.it から RPC fault code DCERPC_FAULT_ACCESS_DENIED を受信しました
当社のNASは以下の通りです:
モデル = TS-X32U
内部モデル = TS-X32U
サーバーコメント =
バージョン = 5.2.5
ビルド番号 = 20250623
番号 = 3173
こんにちは。
NASで問題が発生しているとのことで、ご不便をおかけして申し訳ありません。通常、Active Directory統合のためにデフォルトのidmap=rid設定で構成されたQNAP NASシステムは、Microsoftが2025年7月8日にリリースしたKB 5062572アップデート(CVE-2025-49716対応)の影響を受けません。しかし、お使いのTS-X32U(QTS 5.2.5(Build 20250623))はSamba構成でidmap=ad設定を使用しているため、Microsoftのアドバイザリに沿って影響を受けているようです。
このアップデートは、特定のNetlogon RPCリクエストに対してより厳格なアクセス制御を強制し、2025年7月17日以降に発生している「RPC fault code DCERPC_FAULT_ACCESS_DENIED」エラーやアクセス問題を引き起こす可能性があります。
この問題はMicrosoftのセキュリティポリシーの更新に起因しているため、Sambaの設定を調整するか、AD統合に精通したIT管理者に相談して適切な解決策を検討する必要があるかもしれません。
idmap=adの問題をご報告いただきありがとうございます。同様の構成を持つ他の方々にとっても貴重な情報となります。
Timさん、ご親切な返信ありがとうございます。実は私は大学のすべてのシステムにサービスを提供しているADインフラも管理しており、QNAPを再び動作させるためにMSパッチを元に戻すことはできません。マイクロソフト側から見ると、それが唯一の選択肢です。
私の推測ですが、SMBの担当者が動作するパッチを展開し次第、あなたのシステム向けにもリリースされるはずです。ちなみに、奇妙なことに、古いバージョンのsamba(4.4.16)を搭載した別の古いQNAPは、このQNAP(4.15.13)のような影響を受けていないようです。
私たちも最近のMicrosoft(マイクロソフト)アップデートの影響を受けています。QNAP(キューナップ)でのsamba(サンバ)の動作やインストール方法を見ると、修正が含まれたバージョンへsambaのアップデートが可能なように思われます。
sambaがアプリとして提供されている今なら、これがさらに簡単になることを期待しています。
よろしくお願いいたします。
Garry
TimL様
この問題について、新しいファームウェア、または少なくともパッチ済みのwinbindバージョンを提供していただくことは可能でしょうか?2か月が経過しましたが、ユーザーは依然としてファイルにアクセスできません。必要であれば、あらゆるテストに協力いたします。
よろしくお願いいたします。
こんにちは、影響を受けている使用方法が当初想定していたシナリオを超えているため、パッチ対応を検討中です。デフォルトのシナリオに副作用のないパッチを評価するため、少しお時間をいただきますようお願いいたします。
TimL様
最初の投稿から数ヶ月が経過しましたが、このCVEに関する問題はいまだに修正されていないことを確認しました。他のファームウェアアップデートはリリースされているようですが。
この不具合のためにQNAPを手放さざるを得ず、役に立たなくなってしまいましたが、QNAP上のsambaサービスを修正する予定はありますか?
よろしくお願いいたします。
alessio
最近、SAMBAアプリに別のアップデートがありました。それは確認しましたか?
はい、アレッシオ、SMBサービスのバージョン4.15.004のアップデートに対応してください。ありがとうございます。