QNAP-NAS 脆弱性関連情報ポータル 2023

~ 0 min
2023-11-13 16:27


こちらはQNAP社が公開する最新のNAS関連の脆弱性情報のうち、影響・危険度が「」以上のものを掲載しています。ご利用いただくNAS内データの消失や漏洩などの損害を防ぐため、こちらのページを定期的にチェックしてください。


尚、発見された脆弱性への基本的な対策はメーカーが公開する対策済みバージョンのOS/アプリケーションへのアップデートとなります。特にLAN外部からのNASへのアクセスを許可、或いは、共有フォルダを外部公開しているといった場合には、各項に記載される対策手段を速やかに実施いただくを強くお勧めします。

※ご注意

・記載される情報はページ公開時点のものとなり、今後記載内容が更新される可能性があります。

・新たな脆弱性関連のニュースの公開に併せて、解決済みの旧い情報から順次削除します。
・リンク先メーカーウェブサイトの脆弱性情報ページ「セキュリティ・アドバイザリー」は英語版のみとなります。
 必要に応じてブラウザの翻訳機能等をご利用ください。



最新の脆弱性情報 ※2023年 11月13日更新

QNAPのQuMagieの脆弱性

最終更新日:2023年11月11日
セキュリティID:QSA-23-50
危険度:
CVE識別子:CVE-2023-39295 / 2023-41284 / 2023-41285

影響を受ける製品:QuMagie 2.1.x


概要:QuMagieに影響を与える複数の脆弱性が報告されています。

CVE-2023-39295:
OSコマンドインジェクションの脆弱性が悪用された場合、認証されたユーザーからネットワーク経由でコマンドを実行される可能性があります。

CVE-2023-41284/41285
SQLインジェクションの脆弱性が悪用された場合、認証されたユーザーからネットワーク経由で悪意のあるコードを挿入される可能性があります。

ステータス:解決済み

対策手段:対象となるQuMagieの各バージョンを利用している場合には、下記の対策済みバージョンへアップデートしてください。

  • QuMagie 2.1.4 またはそれ以降


※これらの詳細手順は以下のリンク先メーカーウェブサイトページの記載情報を参照してください。
 尚、こちらは英語版のみの提供につき、ご利用にあたってはWebブラウザのページ翻訳機能などをご利用ください。

詳細・対策実施手順掲載ページ:Multiple Vulnerabilities in QuMag



QTS および QuTS hero の脆弱性

最終更新日:2023年11月4日
セキュリティID:QSA-23-31
危険度:緊急

影響を受ける製品:QTS 5.0.x, 4.5.x; QuTS hero h5.0.x, h4.5.x; QuTScloud c5.0.1


概要:該当OSに、コマンドインジェクションの脆弱性が報告されています。
この脆弱性が悪用された場合、リモートを介した攻撃者から任意のコマンドを実行されるおそれがあります。

ステータス:解決済み

対策手段:対象となるOSの各バージョンを利用している場合には、下記の対策済みバージョンへアップデートしてください。

  • QTS 5.0.1.2376 build 20230421 またはそれ以降
    QTS 4.5.4.2374 build 20230416 またはそれ以降
    QuTS hero h5.0.1.2376 build 20230421 またはそれ以降
    QuTS hero h4.5.4.2374 build 20230417 またはそれ以降
    QuTScloud c5.0.1.2374 またはそれ以降


※これらの詳細手順は以下のリンク先メーカーウェブサイトページの記載情報を参照してください。
 尚、こちらは英語版のみの提供につき、ご利用にあたってはWebブラウザのページ翻訳機能などをご利用ください。

詳細・対策実施手順掲載ページ:Vulnerability in QTS, QuTS hero, and QuTScloud



QTS, Multimedia Console, 及びMedia Streaming add-on の脆弱性

最終更新日:2023年11月4日
セキュリティID:QSA-23-35
危険度:緊急

影響を受ける製品:QTS 5.1.x, 4.3.6, 4.3.4, 4.3.3, 4.2.x; Multimedia Console 2.1.x, 1.4.x; Media Streaming add-on 500.1.x, 500.0.x


概要:該当OSに、コマンドインジェクションの脆弱性が報告されています。
この脆弱性が悪用された場合、リモートを介した第三者から任意のコマンドを実行されるおそれがあります。

ステータス:解決済み

対策手段:対象となるOSの各バージョンを利用している場合には、下記の対策済みバージョンへアップデートしてください。

  • QTS 5.1.0.2399 build 20230515 またはそれ以降
    QTS 4.3.6.2441 build 20230621 またはそれ以降
    QTS 4.3.4.2451 build 20230621 またはそれ以降
    QTS 4.3.3.2420 build 20230621 またはそれ以降
    QTS 4.2.6 build 20230621 またはそれ以降
    Multimedia Console 2.1.2 (2023/05/04) またはそれ以降
    Multimedia Console 1.4.8 (2023/05/05) またはそれ以降
    Media Streaming add-on 500.1.1.2 (2023/06/12) またはそれ以降
    Media Streaming add-on 500.0.0.11 (2023/06/16) またはそれ以降


※これらの詳細手順は以下のリンク先メーカーウェブサイトページの記載情報を参照してください。
 尚、こちらは英語版のみの提供につき、ご利用にあたってはWebブラウザのページ翻訳機能などをご利用ください。

詳細・対策実施手順掲載ページ:Vulnerability in QTS, Multimedia Console, and Media Streaming add-on



QUSBCam2 の脆弱性

最終更新日:2023年10月21日
セキュリティID:QSA-23-43
危険度:
影響を受ける製品:QUSBCam2 2.0.x


概要:QNAPのQUSBCam2 2.0.xに、コマンドインジェクションの脆弱性が報告されています。
この脆弱性が悪用された場合、ネットワークを介して第三者から任意のコマンドを実行されるおそれがあります。

ステータス:解決済み

対策手段:対象となるQUSBCam2の各バージョンを利用している場合には、下記の対策済みバージョンへアップデートしてください。

  • QUSBCam2 2.0.3 (2023/06/15) またはそれ以降


※これらの詳細手順は以下のリンク先メーカーウェブサイトページの記載情報を参照してください。
 尚、こちらは英語版のみの提供につき、ご利用にあたってはWebブラウザのページ翻訳機能などをご利用ください。

詳細・対策実施手順掲載ページ:Vulnerability in QUSBCam2



QTS および QuTS hero の脆弱性

最終更新日:2023年10月14日
セキュリティID:QSA-23-42
危険度:高
影響を受ける製品:QTS 5.1.x, QuTS hero h5.1.x, QuTScloud c5.x


概要:
該当OSに、パストラバーサルの脆弱性が報告されています。
この脆弱性が悪用された場合、第三者に重要な情報を読み出されるおそれがあります。

ステータス:解決済み

対策手段:対象となるOSの各バージョンを利用している場合には、下記の対策済みバージョンへアップデートしてください。

  • QTS 5.1.0.2444 build 20230629 またはそれ以降
  • QuTS hero h5.1.0.2424 build 20230609 またはそれ以降
  • QuTScloud c5.1.0.2498 またはそれ以降


※これらの詳細手順は以下のリンク先メーカーウェブサイトページの記載情報を参照してください。
 尚、こちらは英語版のみの提供につき、ご利用にあたってはWebブラウザのページ翻訳機能などをご利用ください。

詳細・対策実施手順掲載ページ:Vulnerability in QTS, QuTS hero, and QuTScloud



Video Station の脆弱性

最終更新日:2023年10月14日
セキュリティID:QSA-23-52
危険度:

影響を受ける製品:Video Station 5.7.x


概要:
QNAPのVideo Stationに、3件の脆弱性が報告されています。
この脆弱性が悪用された場合、認証されたユーザーに悪意のあるコードを挿入されるおそれがあります。

ステータス:解決済み

対策手段:対象となるVideo Stationの各バージョンを利用している場合には、下記の対策済みバージョンへアップデートしてください。

  • Video Station 5.7.0 (2023/07/27) またはそれ以降

※これらの詳細手順は以下のリンク先メーカーウェブサイトページの記載情報を参照してください。
 尚、こちらは英語版のみの提供につき、ご利用にあたってはWebブラウザのページ翻訳機能などをご利用ください。

詳細・対策実施手順掲載ページ:Vulnerabilities in Video Station



Music Station の脆弱性

最終更新日:2023年10月7日
セキュリティID:QSA-23-28
危険度:
影響を受ける製品:Music Station 5.3.x


概要:
QNAPの Music Station に、ツーパストラバーサル脆弱性(Two path traversal vulnerabilities)が報告されています。この脆弱性が悪用された場合、第三者にネットワーク越しに情報を参照されるおそれがあります。

ステータス:解決済み

対策手段:対象となるMusic Stationの各バージョンを利用している場合には、下記の対策済みバージョンへアップデートしてください。

  • Music Station 5.3.22 またはそれ以降

※これらの詳細手順は以下のリンク先メーカーウェブサイトページの記載情報を参照してください。
 尚、こちらは英語版のみの提供につき、ご利用にあたってはWebブラウザのページ翻訳機能などをご利用ください。

詳細・対策実施手順掲載ページ:Vulnerability in Music Station



Multimedia Console の脆弱性

最終更新日:2023年9月22日
セキュリティID:QSA-23-29
危険度:

影響を受ける製品:Multimedia Console 2.1, 1.4


概要:QNAPの複数の Multimedia Console に、バッファの入力サイズをチェックしない脆弱性が報告されています。

この脆弱性が悪用された場合、想定外のコードを実行されるおそれがあります。

ステータス:解決済み

対策手段:対象となるMultimedia Consoleの各バージョンを利用している場合には、下記の対策済みバージョンへアップデートしてください。

  • Multimedia Console 2.1.1 (2023/03/29) またはそれ以降
  • Multimedia Console 1.4.7 (2023/03/20) またはそれ以降

※これらの詳細手順は以下のリンク先メーカーウェブサイトページの記載情報を参照してください。
 尚、こちらは英語版のみの提供につき、ご利用にあたってはWebブラウザのページ翻訳機能などをご利用ください。

詳細・対策実施手順掲載ページ:Vulnerability in Multimedia Console



QTSの旧バージョンの脆弱性

最終更新日:2023年9月22日
セキュリティID:QSA-23-25
危険度:

影響を受ける製品:QTS 4.3.6, 4.3.4, 4.3.3, 4.2.6


概要:該当OSに、
バッファの入力サイズをチェックしない脆弱性が報告されています。
この脆弱性が悪用された場合、想定外のコードを実行されるおそれがあります。

ステータス:解決済み

対策手段:対象となるOSの各バージョンを利用している場合には、下記の対策済みバージョンへアップデートしてください。

  • QTS 4.3.6.2441 build 20230621 またはそれ以降
  • QTS 4.3.4.2451 build 20230621 またはそれ以降
  • QTS 4.3.3.2420 build 20230621 またはそれ以降
  • QTS 4.2.6 build 20230621 またはそれ以降

※これらの詳細手順は以下のリンク先メーカーウェブサイトページの記載情報を参照してください。
 尚、こちらは英語版のみの提供につき、ご利用にあたってはWebブラウザのページ翻訳機能などをご利用ください。

詳細・対策実施手順掲載ページ:Vulnerability in Legacy QTS



QTS および QuTS hero の脆弱性


最終更新日:2023年9月16日
セキュリティID:QSA-23-18
危険度:

影響を受ける製品:QTS 5.0.1, 4.5.4; QuTS hero h5.0.1, h4.5.4; QuTScloud c5.0.1


概要:該当OSに、コマンドインジェクションの脆弱性が報告されています。
この脆弱性が悪用された場合、認証されたユーザーによりコマンドを実行されるおそれがあります。


ステータス:解決済み

対策手段:対象となるOSの各バージョンを利用している場合には、下記の対策済みバージョンへアップデートしてください。

  • QTS 5.0.1.2376 build 20230421またはそれ以降
  • QTS 4.5.4.2374 build 20230416 またはそれ以降
  • QuTS hero h5.0.1.2376 build 20230421 またはそれ以降
  • QuTS hero h4.5.4.2374 build 20230417 またはそれ以降
  • QuTScloud c5.0.1.2374 またはそれ以降

※これらの詳細手順は以下のリンク先メーカーウェブサイトページの記載情報を参照してください。
 尚、こちらは英語版のみの提供につき、ご利用にあたってはWebブラウザのページ翻訳機能などをご利用ください。

詳細・対策実施手順掲載ページ:Vulnerability in QTS, QuTS hero, and QuTScloud



QTS および QuTS hero の脆弱性


最終更新日:2023年9月8日
セキュリティID:QSA-23-13
危険度:

影響を受ける製品:QuLog Center 1.5, 1.4, 1.3


概要:QNAPの複数のOSのQuLOG Centerに、クロスサイトスクリプティングの脆弱性が報告されています。
この脆弱性が悪用された場合、悪意のあるコードを挿入されるおそれがあります。


ステータス:解決済み

対策手段:対象となるQTS、及びQuTS heroの各バージョンを利用している場合には、QuLOG Centerを下記の対策済みバージョンへアップデートしてください。

  • QTS 5.0.1: QuLog Center 1.5.0.738 (2023/03/06) またはそれ以降
  • QTS 4.5.4: QuLog Center 1.3.1.645 (2023/02/22) またはそれ以降
  • QuTS hero h5.0.1: QuLog Center 1.5.0.738 (2023/03/06) またはそれ以降
  • QuTS hero h4.5.4: QuLog Center 1.3.1.645 (2023/02/22) またはそれ以降
  • QuTscloud c5.0.1: QuLog Center 1.4.1.691 (2023/03/01) またはそれ以降

※これらの詳細手順は以下のリンク先メーカーウェブサイトページの記載情報を参照してください。
 尚、こちらは英語版のみの提供につき、ご利用にあたってはWebブラウザのページ翻訳機能などをご利用ください。

詳細・対策実施手順掲載ページ:Vulnerability in QuLog Center on QTS, QuTS hero and QuTScloud



QTS および QuTS hero の脆弱性


最終更新日:2023年8月25日
セキュリティID:QSA-23-60
危険度:
影響を受ける製品:QTS 5.1.0, 5.0.1, 4.5.4; QuTS hero h5.1.0, h4.5.4


概要:不適切な強度の暗号化について脆弱性が報告されています。
この脆弱性が悪用された場合、ローカルネットワーククライアントによりブルートフォース攻撃で複合化されるおそれがあります。


ステータス:解決済み

対策手段:対象となるQTS、及びQuTS heroの各バージョンを利用している場合には、下記の対策済みバージョンへアップデートしてください。

  • QTS 5.1.0.2444 ビルド 20230629 またはそれ以降
  • QTS 5.0.1.2425 ビルド 20230609 またはそれ以降
  • QTS 4.5.4.2467 ビルド 20230718 またはそれ以降
  • QuTS hero h5.1.0.2424 ビルド 20230609 またはそれ以降
  • QuTS hero h4.5.4.2476 ビルド 20230728 またはそれ以降

※これらの詳細手順は以下のリンク先メーカーウェブサイトページの記載情報を参照してください。
 尚、こちらは英語版のみの提供につき、ご利用にあたってはWebブラウザのページ翻訳機能などをご利用ください。

詳細・対策実施手順掲載ページ:Vulnerability in QTS and QuTS hero



QTS および QuTS hero の脆弱性


最終更新日:2023年7月28日
セキュリティID:QSA-23-09
危険度:
影響を受ける製品:一部のQNAP製機器


概要:QNAP社製NAS上で実行される複数の専用OSに脆弱性が報告されています。
この脆弱性が悪用された場合、リモートからの攻撃者によってDoS攻撃が実行されるおそれがあります。


ステータス:解決済み

対策手段:対象となるQTS、及びQuTS heroの各バージョンを利用している場合には、下記の対策済みバージョンへアップデートしてください。

  • QTS 5.0.1.2277 ビルド 20230112 以降
  • QTS 4.5.4.2280 ビルド 20230112 以降
  • QuTS hero h5.0.1.2277 ビルド 20230112 以降
  • QuTS hero h4.5.4.2374 ビルド 20230417 以降

※これらの詳細手順は以下のリンク先メーカーウェブサイトページの記載情報を参照してください。
 尚、こちらは英語版のみの提供につき、ご利用にあたってはWebブラウザのページ翻訳機能などをご利用ください。

詳細・対策実施手順掲載ページ:Vulnerability in QTS and QuTS hero



QTS および QuTS hero の脆弱性(sudoコマンド関連)

最終更新日:2023年6月16日
セキュリティID:QSA-23-11
危険度:
CVE識別子:CVE-2023-22809

影響を受ける製品:一部のQNAP NAS製品

概要:QNAP社製NASの以下のOSの sudo コマンドに脆弱性が報告されています。
この脆弱性が悪用された場合、リモートからの攻撃者によって悪意のあるコードが挿入されるおそれがあります。

ステータス:解決済み

対策手段:対象となるQTS、及びQuTS heroの各バージョンを利用している場合には、下記の対策済みバージョンへアップデートしてください。

  • QTS 5.0.1.2346 ビルド 20230322 以降
  • QuTS hero h5.0.1.2348 ビルド 20230324 以降

※5/30付 追加対応分

  • QTS 4.5.4.2374 build 20230416 and later
  • QuTS hero h4.5.4.2374 build 20230417 and later
  • QuTScloud c5.0.1.2374 and later
  • QVP 2.3.1.0476 and later

※これらの詳細手順は以下のリンク先メーカーウェブサイトページの記載情報を参照してください。
 尚、こちらは英語版のみの提供につき、ご利用にあたってはWebブラウザのページ翻訳機能などをご利用ください。

詳細・対策実施手順掲載ページ:Vulnerability in sudo



QTS および QuTS hero の脆弱性


最終更新日:2023年1月30日
セキュリティID:QSA-23-01
危険度:重大
影響を受ける製品:QTS5.0.1 および QuTS hero h5.0.1 を実行しているQNAP-NAS

概要:QNAP社製NAS上で実行される複数の専用OSに脆弱性が報告されています。
この脆弱性が悪用された場合、リモートからの攻撃者によって悪意のあるコードが挿入されるおそれがあります。

ステータス:解決済み
対策手段:対象となるQTS、及びQuTS heroの各バージョンを利用している場合には、下記の対策済みバージョンへアップデートしてください。

QTS 5.0.1.2234 ビルド 20221201 以降
QuTS hero h5.0.1.2248 ビルド 20221215 以降

※これらの詳細手順は以下のリンク先メーカーウェブサイトページの記載情報を参照してください。
 尚、こちらは英語版のみの提供につき、ご利用にあたってはWebブラウザのページ翻訳機能などをご利用ください。

詳細・対策実施手順掲載ページ:Vulnerability in QTS and QuTS hero

タグ: アップデート, セキュリティ, ファームウェア, 脆弱性
評価点数: 0 (0 件の投票)

このエントリーにコメントできません。