QNAP Systemsは2023年9月22日(現地時間)、QNAPの複数のプロダクトに脆弱性が存在すると伝えた。この脆弱性はすでに対処済み(Resolved)とされている。該当するプロダクトを使っているかどうかを確認するとともに、製品を使っている場合は説明されている内容に従って対処することが望まれる。

脆弱性に関する情報は次のページにまとまっている。

  • Vulnerability in Legacy QTS - Security Advisory|QNAP

    Vulnerability in Legacy QTS - Security Advisory|QNAP

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • QTS 4.3.6.2441 build 20230621より前のバージョン
  • QTS 4.3.4.2451 build 20230621より前のバージョン
  • QTS 4.3.3.2420 build 20230621より前のバージョン
  • QTS 4.2.6 build 20230621より前のバージョン
  • Multimedia Console 2.1.1 (2023/03/29)より前のバージョン
  • Multimedia Console 1.4.7 (2023/03/20)より前のバージョン

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • QTS 4.3.6.2441 build 20230621およびこれ以降のバージョン
  • QTS 4.3.4.2451 build 20230621およびこれ以降のバージョン
  • QTS 4.3.3.2420 build 20230621およびこれ以降のバージョン
  • QTS 4.2.6 build 20230621およびこれ以降のバージョン
  • Multimedia Console 2.1.1 (2023/03/29)およびこれ以降のバージョン
  • Multimedia Console 1.4.7 (2023/03/20)およびこれ以降のバージョン

修正対象となっている脆弱性に関する情報(CVE)は次のとおり。

  • CVE-2023-23363 - QTSの特定のバージョンに入力サイズをチェックしないバッファコピーの脆弱性。この脆弱性が悪用された場合、リモートから不特定のベクトルを経由してコードを実行される可能性がある
  • CVE-2023-23364 - マルチメディアコンソールの特定のバージョンに入力サイズをチェックしないバッファコピーの脆弱性。この脆弱性が悪用された場合、リモートから不特定のベクトルを経由してコードを実行される可能性がある

修正対象となっている脆弱性の深刻度は重要(Important)とされていることから注意が必要。QNAPはこれら脆弱性を修正するために、システムを最新バージョンに更新することを推奨している。なお、「Product Support Status」から利用可能な最新のアップデートを確認できるとしている。