QSA-22-16
要約
本内容はQNAPが発表したセキュリティアドバイザリ QSA-22-16の弊社による参考訳です。
原文との間で内容に差異がある場合は、原文の内容が優先されます。
原文との間で内容に差異がある場合は、原文の内容が優先されます。
- リリース日 : 2022年5月6日
- セキュリティID : QSA-22-16
- 重大度 :高
- CVE識別子 : CVE-2021-44051 | CVE-2021-44052 | CVE-2021-44053 | CVE-2021-44054
- 影響を受ける製品:特定のQNAP NAS
- ステータス:解決済
概要
QTS、QuTS hero、およびQuTScloudに影響を与える複数の脆弱性が報告されています。
- CVE-2021-44051:コマンドインジェクションの脆弱性
- この脆弱性が悪用されると、リモートの攻撃者が任意のコマンドを実行できるようになります。
- CVE-2021-44052:ファイルアクセス前の不適切なリンク解決(「リンクフォロー」)の脆弱性
- この脆弱性が悪用されると、リモートの攻撃者がファイルシステムを移動して意図しない場所に移動し、ファイルを読み取ったり上書きしたりする可能性があります。
- CVE-2021-44053:クロスサイトスクリプティング(XSS)の脆弱性
- この脆弱性が悪用された場合、リモートの攻撃者が悪意のあるコードを挿入する可能性があります。
- CVE-2021-44054:オープンリダイレクトの脆弱性
- この脆弱性が悪用された場合、攻撃者はマルウェアを含む信頼できないページにユーザーをリダイレクトすることができます。
次のバージョンのQTS、QuTS hero、およびQuTScloudの脆弱性はすでに修正されています。
- QTS 5.0.0.1986 build 20220324 以降
- QTS 4.5.4.1991 build20220329 以降
- QTS 4.3.6.1965 build 20220302 以降
- QTS 4.3.4.1976 build 20220303 以降
- QTS 4.3.3.1945 build 20220303 以降
- QTS 4.2.6 build 20220304 以降
- QuTS hero h5.0.0.1986 build 20220324 以降
- QuTS hero h4.5.4.1971 build20220310 以降
- QuTScloud c5.0.1.1998 以降
勧告
脆弱性を修正するには、QNAPオペレーティングシステムを上記のバージョンのいずれか以降に更新することをお勧めします。
QTS、QuTS hero、またはQuTScloudの更新
- 管理者としてQTS、QuTS hero、またはQuTScloudにログオンします。
- [コントロールパネル]>[システム]>[ファームウェアアップデート]に移動し ます
- [ライブアップデート]で、[アップデートの確認]をクリック します。
QTS、QuTS hero、またはQuTScloudは、利用可能な最新のアップデートをダウンロードしてインストールします
ヒント: QNAP Webサイトから更新をダウンロードすることもできます。[サポート]>[ダウンロードセンター]に移動し 、特定のデバイスの手動更新を実行します。
謝辞: Siemens Energy AGのEnio Pena NavarroとMichael Messner
改訂履歴:
V1.0(2022年5月6日)-公開