sudoに特権昇格の脆弱性 複数のQNAP OSに影響

QNAPのOSに脆弱性が見つかった。sudoでの特権昇格を可能にする脆弱性で、「QTS」「QuTS hero」「QuTScloud」「QVP」（QVR Proアプライアンス）が影響を受けるとされる。

[後藤大地，有限会社オングス]

　QNAP Systemsは2023年3月30日（現地時間）、QNAPのOSに脆弱（ぜいじゃく）性を抱えたsudoが含まれているとの報告した。「QTS」「QuTS hero」「QuTScloud」「QVP」（QVR Proアプライアンス）が影響を受けるとされる。

QNAP SystemsはOSにsudoの脆弱性が存在すると報じた（出典：QNAP SystemsのWebサイト）

sudoで見つかった特権昇格の脆弱性　急ぎ対処を

　QNAP Systemsは本稿執筆時点で、QTSとQuTSについては本脆弱性（CVE-2023-22809）を修正したバージョンを公開している。バージョンは以下の通りだ。

• QTS 5.0.1.2346 build 20230322およびそれ以降のバージョン
• QuTS hero h5.0.1.2348 build 20230324およびそれ以降のバージョン

　QuTScloudおよびQVPについてはまだ修正されていない。QNAP Systemsは今後迅速に修正に取り組むと説明している。

　また、QNAP Systemsは脆弱性の影響を受けないように定期的にセキュリティアドバイザリを確認するとともに、修正を反映したOSが利用可能になり次第、アップデートの適用を推奨している。アップデートの手順は以下の通りだ。

QTS、QuTS hero、QuTScloudのアップデート方法

1. 管理者としてQTS、QuTS hero、QuTScloudなどにログイン
2. 「Control Panel」→「System」→「Firmware Update」を選択
3. 「Live Update」→「Check for Update」を選択

　なお、上記手段ではなくQNAPのWebサイトからアップデートを適用することも可能だ。

QVP（QVR Proアプライアンス）のアップデート方法

1. 管理者としてQVPにログイン
2. 「Control Panel」→「System Settings」→「Firmware Update」を選択
3. 「Firmware Update」タブを選択
4. 「Browse...」を選択して最新のファームウェアファイルをアップロード
5. 「Update System」を選択

　該当製品を使用している場合、脆弱性修正済みのバージョンにアップデートしてほしい。