QSA-21-63
要約
本内容はQNAPが発表したセキュリティアドバイザリ QSA-21-63の弊社による参考訳です。
原文との間で内容に差異がある場合は、原文の内容が優先されます。
原文との間で内容に差異がある場合は、原文の内容が優先されます。
- リリース日 : 2022年1月7日
- セキュリティID : QSA-21-63
- 重大度 :中
- CVE識別子 : CVE-2021-38674
- 影響を受ける製品:特定のQNAP NAS
- ステータス:解決済
概要
反映されたクロスサイトスクリプティング(XSS)の脆弱性が、QTS、QuTS hero、およびQuTScloudのTFTPサーバーに影響を与えることが報告されています。この脆弱性が悪用された場合、リモートの攻撃者が悪意のあるコードを挿入する可能性があります。
次のバージョンのQTS、QuTS hero、およびQuTScloudで、この脆弱性はすでに修正されています。
- QTS 4.5.4.1787 build 20210910 以降
- QuTS hero h4.5.4.1771 build 20210825 以降
- QuTScloud c4.5.7.1864 以降
勧告
デバイスを保護するには、システムを定期的に最新バージョンに更新して、脆弱性の修正を利用することをお勧めします。製品サポートのステータスをチェックして、NASモデルで利用可能な最新のアップデートを確認できます。
QTS、QuTS hero、またはQuTScloudの更新
- 管理者としてQTS、QuTS hero、またはQuTScloudにログオンします。
- [コントロールパネル] > [システム] > [ファームウェア更新]に移動し ます。
- [ライブ更新]で、[更新の確認]をクリック します。
QTS、QuTS hero、またはQuTScloudは、利用可能な最新のアップデートをダウンロードしてインストールします。
謝辞:セキュリティ研究者のTony Martin
改訂履歴: V1.0(2022年1月7日)-公開