Photo Stationの脆弱性に関するセキュリティアドバイザリ
本内容はQNAPが発表したセキュリティアドバイザリ NAS-201911-25 の弊社による参考訳です。
原文との間で内容に差異がある場合は、原文の内容が優先されます。
原文との間で内容に差異がある場合は、原文の内容が優先されます。
- リリース日 : 2019年11月25日
- セキュリティID : NAS-201911-25
- 重要度 : クリティカル
- CVE識別子 : CVE-2019-7192 | CVE-2019-7193 | CVE-2019-7194 | CVE-2019-7195
- 影響を受けるプロダクト : Photo Stationを起動しているすべてのQNAP NASモデル
要約
QTSとPhoto Station複数のバージョンに影響するいくつかの脆弱性が報告されています。
- CVE-2019-7192: 不正なアクセスコントロールの脆弱性により、攻撃者にシステムへのアクセスを増大させます。
- CVE-2019-7193: 不適切な入力検証の脆弱性により、攻撃者は任意のコードが入力できます。
- CVE-2019-7194: ファイル名または経路の脆弱性の外部コントロールにより、リモートの攻撃者はシステムへのアクセスや変更ができます。
- CVE-2019-7195: ファイル名または経路の脆弱性の外部コントロールにより、リモートの攻撃者はシステムへのアクセスや変更ができます。
これらの問題については以下ソフトウェアバージョンで修正しています。
QTS:
- QTS4.4.0 - QTS4.4.1: ビルド20190918とそれ以降
- QTS4.3.6: ビルド20190918とそれ以降
Photo Station:
- QTS 4.4.1: Photo Station 6.0.3 とそれ以降
- QTS 4.3.4 - QTS 4.4.0: Photo Station 5.7.10 とそれ以降
- QTS 4.3.0 - QTS 4.3.3: Photo Station 5.4.9 とそれ以降
- QTS 4.2.6: Photo Station 5.2.11 とそれ以降
推奨
脆弱性を修正するにはQTS、Photo Stationを最新バージョンにアップデートしてください。
重要
現在使用しているQTSバージョンに関係なく、QNAPではデバイスが脆弱性の修正を受けられるようQTSを最新のバージョンに更新して頂くことを強くお勧めします。
NASモデルの製品サポートステータスをご確認ください
QTSアップデートをインストールする
1. 管理者でQTSにログオンする
2. コントロールパネル > システム > ファームウェア更新
3. ライブ更新 > 更新の確認をクリックする。
最新のQTSをダウンロードしインストールを行ってください。
2. コントロールパネル > システム > ファームウェア更新
3. ライブ更新 > 更新の確認をクリックする。
最新のQTSをダウンロードしインストールを行ってください。
Photo Stationを更新する
1. 管理者でQTSにログオンする
2. App Centerを開き、検索アイコンをクリックすると検索ボックスが表示されます。
3. Photo Stationを入力しエンターをクリックする。
Photo Stationアプリケーションが検索結果に表示されます
2. App Centerを開き、検索アイコンをクリックすると検索ボックスが表示されます。
3. Photo Stationを入力しエンターをクリックする。
Photo Stationアプリケーションが検索結果に表示されます
4. 更新をクリックする
確認メッセージが表示されます。
※すでに最新バージョンを使用している場合は更新ボタンは表示されません
5. OKをクリックする確認メッセージが表示されます。
※すでに最新バージョンを使用している場合は更新ボタンは表示されません
アプリケーションが更新されます。
(フォースメディア追記) NASがインターネット接続環境にない場合は手動アップデートを行ってください。
■ アプリケーションの更新方法
https://www.forcemedia.co.jp/support/qa/qnap/006095.html
■ アプリケーションの更新方法
https://www.forcemedia.co.jp/support/qa/qnap/006095.html
Revision History: V1.0 (November 25, 2019) - 公開