ヘルプデスクでの不適切なアクセス制御
本内容はQNAPが発表したセキュリティアドバイザリ QSA-20-03の弊社による参考訳です。
原文との間で内容に差異がある場合は、原文の内容が優先されます。
原文との間で内容に差異がある場合は、原文の内容が優先されます。
- リリース日 : 2020年6月24日
- セキュリティID : QSA-20-03
- 重要度 :重大
- CVE識別子 : CVE-2020-2500
- 影響を受ける製品 : ヘルプデスク
概要
ヘルプデスクにあるこの不適切なアクセス制御の脆弱性により、攻撃者はQNAP Kayakoサービスを制御できるようになります。攻撃者は、APIキーを使用してQNAP Kayakoサーバー上の機密データにアクセスできます。脆弱性を軽減するためにAPIキーを置き換え、Helpdesk 3.0.1以降のバージョンで問題を修正しました。
勧告
脆弱性を修正するには、ヘルプデスクを最新バージョンに更新することを強くお勧めします。
ヘルプデスクの更新
1. 管理者でQTSにログオンする
2. App Centerを開き、[OK]をクリックすると、検索ボックスが表示されます。
3. 「Helpdesuk」と入力し、Enterキーを押します。
ヘルプデスクアプリケーションが検索結果リストに表示されます。
2. App Centerを開き、[OK]をクリックすると、検索ボックスが表示されます。
3. 「Helpdesuk」と入力し、Enterキーを押します。
ヘルプデスクアプリケーションが検索結果リストに表示されます。
4. [更新]を押下すると、確認メッセージが表示されます。
注:最新バージョンを使用している場合、[ 更新 ]ボタンは使用できません。
5. [OK]を押下すると、アプリケーションが更新されます
注:最新バージョンを使用している場合、[ 更新 ]ボタンは使用できません。
5. [OK]を押下すると、アプリケーションが更新されます
改定履歴: V1.0(2020年6月24日)-公開