QNAP Systemsは3月14日(米国時間)、「Local Privilege Escalation Vulnerability in Linux (Dirty Pipe) - Security Advisory|QNAP (US)」において、同社のストレージ製品に特権昇格の脆弱性が存在すると伝えた。この脆弱性を悪用されると、一般ユーザーが管理者権限を取得し、不正なコードを挿入することが可能になるとしている。同社は現在、調査を進めており、準備が整い次第セキュリティアップデートと詳細情報の開示を行うと説明している。
脆弱性が存在するとされる製品は次のとおり。
- QNAP NAS (x86ベース、QTS 5.0.xまたはQuTS hero h5.0.xを実行)
- QNAP NAS (ARMベース、QTS 5.0.xまたはQuTS hero h5.0.xを実行)のうちいくつかのモデル
QTS 4.xを実行しているQNAP NASは、この脆弱性の影響を受けないとされている。
この脆弱性は先日Linuxカーネルに発見された、通称「Dirty Pipe」と呼ばれる特権昇格の脆弱性に関係がある(参考「Linuxに特権昇格の脆弱性「Dirty Pipe」、アップデートを | TECH+」)。このため、該当するLinuxカーネルを使っている製品が影響を受けるとされており、影響を受けるより詳しい製品一覧を「Kernel List | QNAP (US)」で確認することができる。
QNAP Systemsは現在の状態を「調査中」としている。該当する製品を使用している場合にはQNAPからのセキュリティアップデート情報に注意するとともに、アップデートが提供された場合は迅速に適用することが望まれる。