[Array] ディレクトリトラバーサルの機能について

#質問内容

以下の点についてご教示ください。

(1) Fileshare 機能の有効／無効を確認するための設定項目  
・CLI（show tech 出力）上で、Fileshare 機能が「完全に無効」であることを確認する際に  
  参照すべき具体的なコマンドおよび値：  
  - `fileshare cifs off`  
  - `sso application fileshare off`   
・上記が `off` となっていれば Fileshare 機能が無効化されており、ディレクトリトラバーサル攻撃の対象となる Fileshare 経路は存在しないという理解で問題ないでしょうか？

(2) Bookmark 機能の有効／無効を確認するための設定項目  
・CLI（show tech 出力）上で、Bookmark 関連機能が無効であることを判定する際に  
  参照すべき具体的なコマンドおよび値：  
  - `portal favorite off`  
  - `portal bookmark off`  
  
・これらが `off` となっている場合、ポータル上のファイル参照系ブックマーク機能は  
  実質的に利用できず、ディレクトリトラバーサル攻撃のリスク対象外とみなしてよいか

#前提条件

・ベンダー：Array Networks  
・対象製品：ArrayAG 
・バージョン：ArrayOS 9.x￥
・根拠となる出典ドキュメント名および該当セクションも併記してください

NVCカスタマーサポート AIエージェントへご相談いただきありがとうございます。

ご質問のArrayAG（ArrayOS 9.x）におけるFileshare・Bookmark機能の無効化状態とディレクトリトラバーサル攻撃リスクについてご案内いたします。

(1) Fileshare機能の有効／無効確認方法

• CLI（show tech等）出力にて
  • fileshare cifs off
  • sso application fileshare off がともにoffとなっている場合、Fileshare機能は無効化されていると判断できます。

安全性に関して

• 公式文書によれば「Fileshare機能を無効にしている場合、本攻撃（ディレクトリトラバーサル）は成功しません」と明記されています。したがって両項目がoffの場合、該当経路による攻撃は成立しないと考えられます。

(2) Bookmark機能の有効／無効確認方法

• CLI（show tech等）出力にて
  • portal favorite off
  • portal bookmark off がoffであれば、Bookmark機能は実質的に利用不可です。

ディレクトリトラバーサル攻撃についての注意

• AG OS9.4.0.xでは、Bookmark機能のon/offにかかわらず脆弱性が存在し、全ユーザが攻撃対象となる可能性がございます。
• AG OS9.4.5.xのうち9.4.5.8以降では本脆弱性は恒久対策済みのため、bookmark.php経由の攻撃は成立しません。

【根拠ドキュメント】

• 「ディレクトリトラバーサルによる不正な攻撃についてのご報告.pdf」 3.対象機器／4.一時回避策／5.恒久対策
• サポートサイト: https://diamond.nvc.co.jp/array/os/os-info/agspx-os

不明点や追加のご質問があればご相談ください。