QNAP Systemsは2月3日(現地時間)、QNAPの複数のプロダクトに脆弱性が存在すると発表した。これら脆弱性はすでに修正されている。該当するプロダクトを使っているかどうかを確認するとともに、製品を使っている場合は説明されている内容に従ってアップデートすることが望まれている。脆弱性に関する情報は次のサイトから確認可能。
- Vulnerability in QTS, QuTS hero and QuTScloud - Security Advisory | QNAP
- Vulnerability in Qsync Central - Security Advisory | QNAP
-
Vulnerability in QTS, QuTS hero and QuTScloud - Security Advisory|QNAP
脆弱性の影響を受ける製品
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- QTS 5.1.x
- QTS 4.5.x
- QuTS hero h5.1.x
- QuTS hero h4.5.x
- QuTScloud 5.x
- Qsync Central 4.4.x
- Qsync Central 4.3.x
脆弱性が修正された製品
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- QTS 5.1.4.2596 build 20231128およびこれ以降のバージョン
- QTS 4.5.4.2627 build 20231225およびこれ以降のバージョン
- QuTS hero h5.1.4.2596 build 20231128およびこれ以降のバージョン
- QuTS hero h4.5.4.2626 build 20231225およびこれ以降のバージョン
- QuTScloud c5.1.5.2651およびこれ以降のバージョン
- Qsync Central 4.4.0.15 (2024/01/04)およびこれ以降のバージョン
- Qsync Central 4.3.0.11 (2024/01/11)およびこれ以降のバージョン
脆弱性に関する情報
修正対象となっている脆弱性に関する情報(CVE)は次のとおり。
- CVE-2023-45025 - OSコマンドインジェクションの脆弱性。この脆弱性が悪用されると、システムが特定の設定になっている場合にネットワーク経由でコマンドを実行される可能性がある
- CVE-2023-47564 - 重要なリソースに対する不正な権限割り当ての不具合。この脆弱性が悪用されると認証された攻撃者によりネットワーク経由でリソースの読み取りや変更の可能性がある
推奨される対策
修正対象となっている脆弱性の深刻度は最も高いもので緊急(Critical)と評価されており注意が必要。QNAP Systemsから提供されている情報を確認し、該当のシステムまたはサービスを最新バージョンにアップデートすることが望まれている。
