Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

QNAP製品のファームウェアに深刻な脆弱性 - 対象は限定的

QNAP SystemsのNAS製品で稼働するファームウェアに深刻な脆弱性が明らかとなった。現地時間1月30日に公表されたアドバイザリで明らかにされたが、2月3日に対象バージョンが修正されており、影響の範囲が限定的であることがわかっている。

「QTS 5.0.1」「QuTS hero h5.0.1」に「SQLインジェクション」の脆弱性「CVE-2022-27596」が明らかとなったもの。同社では重要度を「クリティカル(Critical)」とレーティングし、利用者へ注意を呼びかけた。

米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」におけるベーススコアを「9.8」、重要度を「クリティカル(Critical)」とレーティングしている。

CVE番号は、2022年3月に割り当てられており、2022年12月にリリース済みである「QTS 5.0.1.2234ビルド20221201」「QuTS hero h5.0.1.2248ビルド20221215」にて修正済みだという。

同社はリリース時にセキュリティの強化を実施したことを明らかにしているが、同脆弱性に対する言及はなく、現地時間1月30日に公表したアドバイザリで「CVE-2022-27596」の影響を明らかにした。当初、以前のバージョンについても影響を受けるとしていたが、2月3日に内容を修正。「QTS 5.0.0」「QTS 4.x.x」「QuTS hero 5.0.0」「QuTS hero 4.5.x」については影響を受けないとした。

(Security NEXT - 2023/02/06 ) このエントリーをはてなブックマークに追加

PR

関連記事

なかほら牧場の通販サイトに不正アクセス - 個人情報流出の可能性
Cisco、セキュリティアドバイザリ5件を公開 - DoS脆弱性などに対応
脅威情報共有プラットフォーム「MISP」に脆弱性 - 最新版へ更新を
ブラウザ「Chrome」にアップデート - セキュリティに関する4件の修正
個人情報含む手帳や職員の証票を紛失 - 都児童相談所
家禽飼養施設のFAXリストを誤送信 - 静岡県
ファンクラブ入会者情報が流出、フォーム設定ミスで - 鹿島アントラーズ
個人情報含む資料を誤廃棄、運搬中に落下して散乱 - 群馬県
短大生が職員チャットを無断閲覧、揶揄する内容も - 茨城県
Progress Softwareの「OpenEdge」に認証バイパスの脆弱性