QNAP Systemsは1月6日(現地時間)、QNAPの複数製品に緊急の脆弱性が存在するとして、注意を喚起した。この脆弱性は対処済み(Resolved)とされている。QNAP製品の利用者は該当製品を使用しているかどうか確認するとともに、製品を使用している場合は説明されている内容に従ってアップデートすることが望まれている。
修正対象となっている製品およびセキュリティ脆弱性に関する情報は次のページにまとまっている。
- Vulnerability in Netatalk - Security Advisory | QNAP
- Vulnerability in QcalAgent - Security Advisory | QNAP
脆弱性が存在するバージョンと脆弱性が修正されたバージョン
セキュリティ脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- QTS 5.1.x
- QuTS hero h5.1.x
- QcalAgent 1.1.x
セキュリティ脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- QTS 5.1.3.2578 build 20231110およびこれ以降のバージョン
- QuTS hero h5.1.3.2578 build 20231110およびこれ以降のバージョン
- QcalAgent 1.1.8およびこれ以降のバージョン
修正対象の脆弱性の詳細
修正対象となっている脆弱性に関する情報(CVE)は次のとおり。
- CVE-2022-43634 - Netatalk上の処理においてデータ長の不適切な検証により固定長のヒープバッファへのコピーに不具合が存在する。この不具合を悪用されると認証されていないリモートの攻撃者により管理者権限で任意のコードを実行される可能性がある
- CVE-2023-41289 - OSコマンドインジェクションの脆弱性。この脆弱性を悪用されると認証された攻撃者によりネットワーク経由でコマンドを実行される可能性がある
修正対象となっている脆弱性のうち、最も深刻度の高いものは緊急(Critical)とされており注意が必要。該当する製品を使用している場合は、QNAPから提供されているセキュリティ情報を確認し、提示された手順に従ってアップデートすることが望まれている。