QSA-21-11
本内容はQNAPが発表したセキュリティアドバイザリ QSA-21-11の弊社による参考訳です。
原文との間で内容に差異がある場合は、原文の内容が優先されます。
原文との間で内容に差異がある場合は、原文の内容が優先されます。
- リリース日 : 2021年4月16日
- セキュリティID : QSA-21-11
- 重大度 :重大
- CVE識別子 : CVE-2020-36195
- 影響を受ける製品:マルチメディアコンソールまたはメディアストリーミングアドオンを実行しているQNAP NAS
- ステータス:解決済
概要
SQLインジェクションの脆弱性は、マルチメディアコンソールまたはメディアストリーミングアドオンを実行しているQNAPNASに影響を与えることが報告されています。
この脆弱性が悪用されると、リモートの攻撃者がアプリケーション情報を入手できるようになります。
この脆弱性は、次のバージョンのマルチメディアコンソールとメディアストリーミングアドオンですでに修正されています。
- QTS 4.3.3:メディアストリーミングアドオン430.1.8.10以降
- QTS 4.3.6:メディアストリーミングアドオン430.1.8.8以降
- QTS 4.4.x以降:マルチメディアコンソール1.3.4以降
また、次のバージョンのQTS4.3.3およびQTS4.3.6で、この脆弱性をそれぞれ修正しました。
- QTS4.3.3.1624ビルド20210416以降
- QTS4.3.6.1620ビルド20210322以降
勧告
この脆弱性を修正するには、マルチメディアコンソールまたはメディアストリーミングアドオンを最新バージョンに更新することをお勧めします。さらに、QTS4.3.3およびQTS4.3.6を実行しているデバイスの場合、QTSを更新することを強くお勧めします。
QTSの更新
- 管理者としてQTSにログオンします。
- [コントロールパネル] > [システム] > [ファームウェアアップデート]に移動します。
- 下ではライブアップデート、クリックアップデートの有無をチェックします。
QTSは、利用可能な最新のアップデートをダウンロードしてインストールします。
ヒント: QNAPWebサイトから更新をダウンロードすることもできます。[サポート] > [ダウンロードセンター]に移動し、特定のデバイスの手動更新を実行します。
マルチメディアコンソールの更新
- 管理者としてQTSにログオンします。
- App Centerを開き、をクリックします。
検索ボックスが表示されます。 - 「マルチメディアコンソール」と入力し、Enterキーを押します。
マルチメディアコンソールが検索結果に表示されます。 - [更新]をクリックします。
確認メッセージが表示されます。
注:マルチメディアコンソールがすでに最新の場合、[更新]ボタンは使用できません。 - [ OK]をクリックします。
アプリケーションが更新されます。
メディアストリーミングアドオンの更新
- 管理者としてQTSにログオンします。
- App Centerを開き、をクリックします。
検索ボックスが表示されます。 - 「メディアストリーミングアドオン」と入力し、Enterキーを押します。
メディアストリーミングアドオンが検索結果に表示されます。 - [更新]をクリックします。
確認メッセージが表示されます。
注:メディアストリーミングアドオンがすでに最新の場合、[更新]ボタンは使用できません。 - [ OK]をクリックします。
アプリケーションが更新されます。
謝辞: Yaniv Puyeski
改訂履歴: V1.0(2021年4月16日)-公開