ニュース
QNAP製品に複数の脆弱性 深刻度は「重要」(High)に分類:セキュリティニュースアラート
QNAP SystemsはQTS 5.1.x、QuTS hero h5.1.x、QuMagie 2.2.x、Video Station 5.7.xなどの自社製品について脆弱性を発表した。修正版がリリースされており、適用が推奨される。
QNAP Systemsは2024年1月6〜8日(現地時間)にかけて「QTS 5.1.x」「QuTS hero h5.1.x」「QuMagie 2.2.x」「Video Station 5.7.x」を含む製品に複数の脆弱(ぜいじゃく)性が存在することを発表した。
QNAP製品の脆弱性の詳細は?
これらの脆弱性を悪用することで、不正なリモートアクセスやシステムクラッシュ、悪意あるコードの注入が可能になる。特に以下の製品に存在する脆弱性の深刻度は「重要」(High)に分類されていることから注意が必要だ。
- QTS 5.1.x
- QuTS hero h5.1.x
- QuMagie 2.2.x
- Video Station 5.7.x
存在する脆弱性の主な内容は以下の通りだ。
- QTS 5.1.xおよびQuTS hero h5.1.x: サイバー攻撃者がリモートから既存の属性を互換性のないタイプで上書きでき、結果としてシステムクラッシュを引き起こすことが可能となる
- QuMagie 2.2.x: クロスサイトスクリプティング(XSS)の脆弱性を突いて認証されたユーザーがネットワーク経由で悪意あるコードを注入できる。また、認証されたユーザーがOSコマンドインジェクションの脆弱性を悪用してネットワーク経由でコマンドを実行可能
- Video Station 5.7.x: SQLコマンドインジェクションを悪用してネットワーク経由で悪意あるコードの注入が可能となる。また、OSコマンドインジェクションの脆弱性を悪用してネットワーク経由でコマンドを実行できる
脆弱性が修正されたプロダクトおよびバージョンは以下の通りだ。
- QTS 5.1.3.2578 build 20231110およびこれ以降のバージョン
- QuTS hero h5.1.3.2578 build 20231110およびこれ以降のバージョン
- QuMagie 2.2.1およびこれ以降のバージョン
- Video Station 5.7.2(2023/11/23)およびこれ以降のバージョン
QNAP Systemsは該当製品を使用しているユーザーや管理者に対して脆弱性が修正された最新バージョンにアップデートすることを推奨している。脆弱性に関する情報はそれぞれ以下のページを確認してほしい。
QNAP Systemsは2024年1月に入ってから上記以外にもより深刻度が低い脆弱性の影響を受ける製品の情報を公開している。上記製品を使っていない場合でも「Security Advisories | QNAP」から脆弱性情報を確認し、適切に対応を取ることが望まれる。
関連記事
- Oktaが一連のサイバー攻撃について“猛省” セキュリティ文化の変革を宣言
Oktaは一連のサイバー攻撃への対処について、同社の決算報告会で改善することを誓い、セキュリティの甘さにつながる文化の変革に乗り出すとした。その具体的な取り組みとは。 - サイバー攻撃者はなぜギャンブル業界を狙うのか? お金だけじゃないその理由
サイバー攻撃者は近年、ギャンブル業界を標的にしたランサムウェア攻撃を仕掛ける傾向にある。一体なぜこの業界が狙われているのか。理由は金銭だけではないようだ。 - 筆者が気になる2024年のセキュリティトピック AIやランサムウェアは今後どうなる?
新年第1回目の本コラムでは、セキュリティベンダー各社が公開している2024年のサイバーセキュリティ脅威予測の中でも筆者が興味深いと感じたものをピックアップして紹介します。 - 今度は「ownCloud」で発生 ファイル転送サービスを狙うサイバー攻撃が相次ぐ
ファイル転送サービスは格好の標的であり、ownCloudの脆弱性は、重要なファイル転送サービスに対する一連のサイバー攻撃における最新の例だ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.