QNAP Systemsは4月25日(米国時間)、「Multiple Vulnerabilities in Netatalk - Security Advisory|QNAP」において、QNAPの複数のプロダクトに複数の脆弱性が存在すると伝えた。この脆弱性は現在修正中(Fixing)とされている。該当するプロダクトを使っているかどうかを確認するとともに、製品を使っている場合は説明されている内容に従って対処することが望まれる。
-
Multiple Vulnerabilities in Netatalk - Security Advisory|QNAP
この脆弱性は、Netatalkの脆弱性の影響によるもの。Netatalk開発チームは脆弱性を修正したNetatalk 3.1.13を公開しており、このバージョンで修正された脆弱性がQNAP製品にも存在すると考えられている。
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- QTS 5.0.xおよびこれ以降のバージョン
- QTS 4.5.4およびこれ以降のバージョン
- QTS 4.3.6およびこれ以降のバージョン
- QTS 4.3.4およびこれ以降のバージョン
- QTS 4.3.3およびこれ以降のバージョン
- QTS 4.2.6およびこれ以降のバージョン
- QuTS hero h5.0.xおよびこれ以降のバージョン
- QuTS hero h4.5.4およびこれ以降のバージョン
- QuTScloud c5.0.x
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- QTS 4.5.4.2012 build 20220419およびこれ以降のバージョン
修正対象となっている脆弱性に関する情報(CVE)は次のとおり。
- CVE-2021-31439
- CVE-2022-23121
- CVE-2022-23123
- CVE-2022-23122
- CVE-2022-23125
- CVE-2022-23124
- CVE-2022-0194
QNAPはこの脆弱性の影響を低減するために、次の対応を取ることを推奨している。
- AFPを無効化する。アップデートが提供されたらアップデートを適用したのちAFPを再度有効化する
修正対象となっている脆弱性はCVEの特定で7つで、深刻度は重要(High)とされていることから注意が必要。提供されている情報に従って迅速に対応するとともに、QNAPから提供されるセキュリティ情報に合わせて対処することが望まれる。
