ニュース
sudoに特権昇格の脆弱性 複数のQNAP OSに影響
QNAPのOSに脆弱性が見つかった。sudoでの特権昇格を可能にする脆弱性で、「QTS」「QuTS hero」「QuTScloud」「QVP」(QVR Proアプライアンス)が影響を受けるとされる。
QNAP Systemsは2023年3月30日(現地時間)、QNAPのOSに脆弱(ぜいじゃく)性を抱えたsudoが含まれているとの報告した。「QTS」「QuTS hero」「QuTScloud」「QVP」(QVR Proアプライアンス)が影響を受けるとされる。
sudoで見つかった特権昇格の脆弱性 急ぎ対処を
QNAP Systemsは本稿執筆時点で、QTSとQuTSについては本脆弱性(CVE-2023-22809)を修正したバージョンを公開している。バージョンは以下の通りだ。
- QTS 5.0.1.2346 build 20230322およびそれ以降のバージョン
- QuTS hero h5.0.1.2348 build 20230324およびそれ以降のバージョン
QuTScloudおよびQVPについてはまだ修正されていない。QNAP Systemsは今後迅速に修正に取り組むと説明している。
また、QNAP Systemsは脆弱性の影響を受けないように定期的にセキュリティアドバイザリを確認するとともに、修正を反映したOSが利用可能になり次第、アップデートの適用を推奨している。アップデートの手順は以下の通りだ。
QTS、QuTS hero、QuTScloudのアップデート方法
- 管理者としてQTS、QuTS hero、QuTScloudなどにログイン
- 「Control Panel」→「System」→「Firmware Update」を選択
- 「Live Update」→「Check for Update」を選択
なお、上記手段ではなくQNAPのWebサイトからアップデートを適用することも可能だ。
QVP(QVR Proアプライアンス)のアップデート方法
- 管理者としてQVPにログイン
- 「Control Panel」→「System Settings」→「Firmware Update」を選択
- 「Firmware Update」タブを選択
- 「Browse...」を選択して最新のファームウェアファイルをアップロード
- 「Update System」を選択
該当製品を使用している場合、脆弱性修正済みのバージョンにアップデートしてほしい。
関連記事
- 脆弱性対応の“解像度”を高めよ アップデートだけでは全然足りない理由
「脆弱性対応=セキュリティアップデートを適用するだけ」という理解は少し解像度が低過ぎるかもしれない。岡田 良太郎氏がそもそも脆弱性対応とは何をどうすることなのか、近年注目のキーワード「SBOM」の意義とは何かなどを語った。 - 脆弱性対応と社長命令の板挟み――情シスに明日はくるのか?
サイバー攻撃が激しさを増す中、自社に影響を与える可能性がある脆弱性に対して適切に対処するにはどうすればいいのだろうか。クイズ形式でこれを学んでみよう。 - 人手不足で「脅威に脆弱な組織」を助けるサイバーリーズンの新製品とは
サイバーリーズンは2023年事業戦略発表会を開催した。サイバー攻撃が激化する一方でセキュリティ人材が不足しているのが実情だ。同社はこれをどのように解消するのか。新製品である「Cybereason XDR」の詳細に迫った。 - NTT ComがマネージドSOARサービスを提供 セキュリティ自動化を容易に実現
NTT Comは2023年3月31日から、SOARの円滑な導入と運用を支援する「マネージドSOAR」の提供を開始する。インシデント対応時の対処をテンプレート化、自動化することで、セキュリティ担当者不足を解消する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.