QSA-22-13
要約
本内容はQNAPが発表したセキュリティアドバイザリ QSA-22-13の弊社による参考訳です。
原文との間で内容に差異がある場合は、原文の内容が優先されます。
原文との間で内容に差異がある場合は、原文の内容が優先されます。
- リリース日 : 2022年5月6日
- セキュリティID : QSA-22-13
- 重大度 :中
- CVE識別子 : CVE-2021-38693
- 影響を受ける製品:特定のQNAP NAS
- ステータス:解決済
概要
thttpdのパストラバーサルの脆弱性は、QTS、QuTS hero、およびQuTScloudを実行しているQNAPデバイスに影響を与えることが報告されています。この脆弱性が悪用されると、攻撃者は機密データにアクセスして読み取ることができます。
次のバージョンのQTS、QuTS hero、およびQuTScloudで、この脆弱性はすでに修正されています。
- QTS 5.0.0.1986 build 20220324 以降
- QTS 4.5.4.1991 build 20220329 以降
- QuTS hero h5.0.0.1949 build 20220215 以降
- QuTS hero h4.5.4.1951 build 20220218 以降
- QuTScloud c5.0.1.1949
勧告
デバイスを保護するには、システムを定期的に最新バージョンに更新して、脆弱性の修正を利用することをお勧めします。製品サポートのステータスをチェックして、NASモデルで利用可能な最新のアップデートを確認できます。
QTS、QuTS hero、またはQuTScloudの更新
- 管理者としてQTS、QuTS hero、またはQuTScloudにログオンします。
- [コントロールパネル] > [システム] > [ファームウェアアップデート]に移動し ます。
- [ライブ更新]で、[更新の確認]をクリック します。
QTS、QuTS hero、またはQuTScloudは、利用可能な最新のアップデートをダウンロードしてインストールします。
ヒント:QNAP Webサイトから更新をダウンロードすることもできます。[サポート] > [ダウンロードセンター]に移動し、特定のデバイスの手動更新を実行します。
謝辞:
Thomson ReutersのGuido GilesとIury Simas
Cyber CitadelのRafay Baloch、Hammad Shamsi、Muhammad Samak
Qualys
改訂履歴:V1.0(2022年5月6日)-公開