ヘルプデスクアプリで複数の脆弱性
本内容はQNAPが発表したセキュリティアドバイザリ QSA-20-05の弊社による参考訳です。
原文との間で内容に差異がある場合は、原文の内容が優先されます。
原文との間で内容に差異がある場合は、原文の内容が優先されます。
- リリース日 : 2020年9月9日
- セキュリティID : QSA-20-05
- 重要度 :中
- CVE識別子 : CVE-2018-19946 | CVE-2018-19947 | CVE-2018-19948
- 影響を受ける製品 : すべてのQNAP NAS
概要
旧バージョンのヘルプデスクに影響を与える3つの脆弱性が報告されています。
- CVE-2018-19946 : 不正証明書検証の脆弱性が悪用されると、攻撃者がホストとクライアント間のコミュニケーションパスを妨害することにより、信頼されたエンティティを偽装する可能性があります。
- CVE-2018-19947 : この脆弱性が悪用されると、機密情報が漏洩する可能性があります。
- CVE-2018-19948 : このクロスサイトリクエストフォージェリ(CSRF)の脆弱性が悪用されると、攻撃者はNASユーザーにWebアプリケーションを通じて意図しないアクションを強制的に実行させる可能性があります。
QNAPは以下ソフトウェアバージョンでこれらの問題を修正しております。
勧告
脆弱性を修正するには、ヘルプデスクを最新バージョンに更新することを強くお勧めします。
ヘルプデスクアプリの更新
1. 管理者でQTSにログオンする
2. App Centerを開き、[OK]をクリックすると、検索ボックスが表示されます。
3. 「Helpdesk」と入力し、Enterキーを押します。
ヘルプデスクアプリケーションが検索結果リストに表示されます。
2. App Centerを開き、[OK]をクリックすると、検索ボックスが表示されます。
3. 「Helpdesk」と入力し、Enterキーを押します。
ヘルプデスクアプリケーションが検索結果リストに表示されます。
4. [更新]を押下すると、確認メッセージが表示されます。
注:最新バージョンを使用している場合、[ 更新 ]ボタンは使用できません。
5. [OK]を押下すると、アプリケーションが更新されます
注:最新バージョンを使用している場合、[ 更新 ]ボタンは使用できません。
5. [OK]を押下すると、アプリケーションが更新されます
改定履歴: V1.0(2020年9月9日)-公開