File Station、Video StationとMusic Stationの脆弱性についてのセキュリティアドバイザリ
本内容はQNAPが発表したセキュリティアドバイザリ NAS-201911-27 の弊社による参考訳です。
原文との間で内容に差異がある場合は、原文の内容が優先されます。
原文との間で内容に差異がある場合は、原文の内容が優先されます。
- リリース日 : 2019年11月27日
- セキュリティID : NAS-201911-27
- 重要度 : 高
- CVE識別子 : CVE-2019-7183 | CVE-2019-7184 | CVE-2019-7185
- 影響を受けるプロダクト : すべてのQNAP NASモデル
要約
複数のQTSバージョンに影響するいくつかの脆弱性が報告されています。
- CVE-2019-7183: 不正なリンク解決の脆弱性により、リモート攻撃者はシステムファイルへのアクセスができます。
- CVE-2019-7184: Video Staionのクロスサイトスクリプティング(XSS)の脆弱性により、リモート攻撃者は管理者のマネージメントコンソールでの入力とスクリプトの実行ができます。
- CVE-2019-7185: Music Staionのクロスサイトスクリプティング(XSS)の脆弱性により、リモート攻撃者は管理者のマネージメントコンソールでの入力とスクリプトの実行ができます。
これらの問題については以下ソフトウェアバージョンで修正しています。
QTS:
- QTS4.4.1: ビルド20191109とそれ以降
- QTS4.3.6: ビルド20190919とそれ以降
- QTS4.3.4: ビルド20190921とそれ以降
- QTS4.3.3: ビルド20190921とそれ以降
- QTS4.2.6: ビルド20191107とそれ以降
Video Station:
- QTS 4.4.1: Video Station 5.4.3 とそれ以降
- QTS 4.3.4 - QTS 4.4.0: Video Station 5.3.10 とそれ以降
Music Station:
- QTS 4.4.1: Music Station 5.3.5 とそれ以降
- QTS 4.3.6 - QTS 4.4.0: Music Station 5.2.7 とそれ以降
- QTS 4.3.0 - QTS 4.3.4: Music Station 5.1.11 とそれ以降
推奨
脆弱性を修正するにはQTS、Video StationとMusic Stationを最新バージョンにアップデートしてください。
重要
現在使用しているQTSバージョンに関係なく、QNAPではデバイスが脆弱性の修正を受けられるようQTSを最新のバージョンに更新して頂くことを強くお勧めします。
NASモデルの製品サポートステータスをご確認ください
QTSアップデートをインストールする
1. 管理者でQTSにログオンする
2. コントロールパネル > システム > ファームウェア更新
3. ライブ更新 > 更新の確認をクリックする。
最新のQTSをダウンロードしインストールを行ってください。
2. コントロールパネル > システム > ファームウェア更新
3. ライブ更新 > 更新の確認をクリックする。
最新のQTSをダウンロードしインストールを行ってください。
Video Stationを更新する
1. 管理者でQTSにログオンする
2. App Centerを開き、検索アイコンをクリックすると検索ボックスが表示されます。
3. Video Stationを入力しエンターをクリックする。
Video Stationアプリケーションが検索結果に表示されます
2. App Centerを開き、検索アイコンをクリックすると検索ボックスが表示されます。
3. Video Stationを入力しエンターをクリックする。
Video Stationアプリケーションが検索結果に表示されます
4. 更新をクリックする
確認メッセージが表示されます。
※すでに最新バージョンを使用している場合は更新ボタンは表示されません
5. OKをクリックする確認メッセージが表示されます。
※すでに最新バージョンを使用している場合は更新ボタンは表示されません
アプリケーションが更新されます。
Music Stationを更新する
1. 管理者でQTSにログオンする
2. App Centerを開き、検索アイコンをクリックすると検索ボックスが表示されます。
3. Music Stationを入力しエンターをクリックする。
Music Stationアプリケーションが検索結果に表示されます
2. App Centerを開き、検索アイコンをクリックすると検索ボックスが表示されます。
3. Music Stationを入力しエンターをクリックする。
Music Stationアプリケーションが検索結果に表示されます
4. 更新をクリックする
確認メッセージが表示されます。
※すでに最新バージョンを使用している場合は更新ボタンは表示されません
5. OKをクリックする確認メッセージが表示されます。
※すでに最新バージョンを使用している場合は更新ボタンは表示されません
アプリケーションが更新されます。
(フォースメディア追記) NASがインターネット接続環境にない場合は手動アップデートを行ってください。
■ アプリケーションの更新方法
https://www.forcemedia.co.jp/support/qa/qnap/006095.html
■ アプリケーションの更新方法
https://www.forcemedia.co.jp/support/qa/qnap/006095.html
Revision History: V1.0 (November 27, 2019) - 公開