QSA-22-05
要約
本内容はQNAPが発表したセキュリティアドバイザリ QSA-22-05の弊社による参考訳です。
原文との間で内容に差異がある場合は、原文の内容が優先されます。
原文との間で内容に差異がある場合は、原文の内容が優先されます。
- リリース日 : 2022年3月14日
- セキュリティID : QSA-22-05
- 重大度 :高
- CVE識別子 : CVE-2022-0847
- 影響を受ける製品:QTS 5.0.x、QuTS hero h5.0.x、およびQuTScloud c5.0.xを実行するすべてのQNAP x86ベースのNASおよび一部のQNAP ARMベースのNAS
- 影響を受けない製品:QTS 4.xおよびQuTS hero h4.xを実行しているQNAP NAS
- ステータス:解決済
概要
「ダーティパイプ」とも呼ばれるローカル権限昇格の脆弱性が、QTS 5.0.x、QuTS hero h5.0.x、およびQuTScloud c5.0.xを実行しているQNAP NAS上のLinuxカーネルに影響を与えることが報告されています。この脆弱性が悪用された場合、特権のないユーザーが管理者特権を取得し、悪意のあるコードを挿入する可能性があります。
次のオペレーティングシステムのバージョンが影響を受けます。
- すべてのQNAP x86ベースのNASおよび特定のQNAP ARMベースのNAS上のQTS 5.0.x
- すべてのQNAP x86ベースのNASおよび特定のQNAP ARMベースのNAS上のQuTS hero h5.0.x
- QuTScloud c5.0.x
影響を受けるモデルの完全なリストについては、次のリンクの「カーネルバージョン5.10.60」を確認してください:https://www.qnap.com/go/release-notes/kernel
QTS 4.xおよびQuTS hero h4.xを実行しているQNAP NASは影響を受けません。
次のオペレーティングシステムバージョンの脆弱性はすでに修正されています。
- QTS 5.0.0.1986 build 20220324 以降
- QuTS hero h5.0.0.1986 build 20220324 以降
- QuTScloud c5.0.1.1998 以降
QuTScloudのセキュリティアップデートをできるだけ早くリリースします。
勧告
現在、この脆弱性を軽減する方法はありません。セキュリティアップデートが利用可能になり次第、確認してインストールすることをお勧めします。
QTS、QuTS hero、またはQuTScloudの更新
- 管理者としてQTS、QuTS hero、またはQuTScloudにログオンします。
- [コントロールパネル]>[システム]>[ファームウェアアップデート]に移動し ます。
- [ライブアップデート]で 、[アップデートの確認]をクリック します。
QTS、QuTS hero、またはQuTScloudは、利用可能な最新のアップデートをダウンロードしてインストールします。
改訂履歴:
V1.0(2022年3月11日)-公開済み
V1.1(2022年3月23日)-QuTS hero 5.0.xのセキュリティアップデートが利用可能
V1.2(2022年3月31日)-QTS 5.0.0のセキュリティアップデートが利用可能
V2.0(2022年5月11日)-QuTScloud c5.0.1のセキュリティアップデートを修正