現在位置: ホーム / サポート / QNAP / QSA-22-05

QSA-22-05

要約
本内容はQNAPが発表したセキュリティアドバイザリ QSA-22-05の弊社による参考訳です。
原文との間で内容に差異がある場合は、原文の内容が優先されます。
  • リリース日 : 2022年3月14日
  • セキュリティID : QSA-22-05
  • 重大度 :
  • CVE識別子 : CVE-2022-0847
  • 影響を受ける製品QTS 5.0.x、QuTS hero h5.0.x、およびQuTScloud c5.0.xを実行するすべてのQNAP x86ベースのNASおよび一部のQNAP ARMベースのNAS
  • 影響を受けない製品:QTS 4.xおよびQuTS hero h4.xを実行しているQNAP NAS
  • ステータス:解決済

  

概要

「ダーティパイプ」とも呼ばれるローカル権限昇格の脆弱性が、QTS 5.0.x、QuTS hero h5.0.x、およびQuTScloud c5.0.xを実行しているQNAP NAS上のLinuxカーネルに影響を与えることが報告されています。この脆弱性が悪用された場合、特権のないユーザーが管理者特権を取得し、悪意のあるコードを挿入する可能性があります。

 

次のオペレーティングシステムのバージョンが影響を受けます。

 

  • すべてのQNAP x86ベースのNASおよび特定のQNAP ARMベースのNAS上のQTS 5.0.x
  • すべてのQNAP x86ベースのNASおよび特定のQNAP ARMベースのNAS上のQuTS hero h5.0.x
  • QuTScloud c5.0.x

 

影響を受けるモデルの完全なリストについては、次のリンクの「カーネルバージョン5.10.60」を確認してください:https://www.qnap.com/go/release-notes/kernel 

 

QTS 4.xおよびQuTS hero h4.xを実行しているQNAP NASは影響を受けません。

 

次のオペレーティングシステムバージョンの脆弱性はすでに修正されています。

 

  • QTS 5.0.0.1986 build 20220324 以降
  • QuTS hero h5.0.0.1986 build 20220324 以降
  • QuTScloud c5.0.1.1998 以降

 

QuTScloudのセキュリティアップデートをできるだけ早くリリースします。

  

勧告

現在、この脆弱性を軽減する方法はありません。セキュリティアップデートが利用可能になり次第、確認してインストールすることをお勧めします。

  

QTS、QuTS hero、またはQuTScloudの更新
  1. 管理者としてQTS、QuTS hero、またはQuTScloudにログオンします。
  2. [コントロールパネル]>[システム]>[ファームウェアアップデート]に移動し ます
  3. [ライブアップデート]で 、[アップデートの確認]をクリック します
    QTS、QuTS hero、またはQuTScloudは、利用可能な最新のアップデートをダウンロードしてインストールします。
ヒント:  QNAP Webサイトから更新をダウンロードすることもできます。[サポート]>[ダウンロードセンター]に移動し、特定のデバイスの手動更新を実行します。


改訂履歴:
V1.0(2022年3月11日)-公開済み
V1.1(2022年3月23日)-QuTS hero 5.0.xのセキュリティアップデートが利用可能
V1.2(2022年3月31日)-QTS 5.0.0のセキュリティアップデートが利用可能
V2.0(2022年5月11日)-QuTScloud c5.0.1のセキュリティアップデートを修正