QNAP製NASに複数の脆弱性 - 修正版以降へ更新を
QNAP Systemsは、現地時間9月16日に同社NAS製品に関連する3件のセキュリティアドバイザリを公開し、5件の脆弱性に対処したことを明らかにした。
「QTS」「QuTS hero」「QuTScloud」において5件の脆弱性に対処したもの。重要度が4段階中もっとも高い「クリティカル(Critical)」とされる脆弱性は含まれていない。
「CVE-2023-23362」は、OSコマンドインジェクションの脆弱性。認証されたユーザーによってネットワーク経由でコマンドを実行されるおそれがあるという。重要度は「高(High)」とレーティングしている。
さらに域外メモリに書き込む「CVE-2023-23358」「CVE-2023-23359」や、NULLポインタを参照する「CVE-2023-23360」「CVE-2023-23361」などが判明した。認証されたユーザーによってネットワーク経由でDoS攻撃が可能。重要度は「中(Medium)」としている。
脆弱性によって対象となるバージョンは異なるものの、4月にリリースした「QTS 5.0.1.2376 build 20230421」「同4.5.4.2374 build 20230416」「QuTS hero h5.0.1.2376 build 20230421」「同h4.5.4.2374 build 20230417」「QuTScloud c5.0.1.2374」においていずれの脆弱性も修正済みとなっており、これらバージョン以降を利用するよう呼びかけている。
(Security NEXT - 2023/09/19 )
ツイート
PR
関連記事
小学校で成績含むUSBメモリ紛失、データにはPW - 都城市
YCC情報システムにサイバー攻撃 - 影響など詳細を調査
総務省をかたる偽メールに注意 - 調査名目で情報詐取
「SandboxJS」にサンドボックス回避のクリティカル脆弱性などが判明
米当局、「FortiClient EMS」脆弱性の悪用に注意喚起 - 侵害有無の確認も要請
医師の経験症例リスト含むUSBメモリが所在不明 - 新潟大医歯学総合病院
県立高で学習管理サービスに成績一覧を誤掲載 - 埼玉県
大阪マラソンのボランティアシステムで個人情報流出 - 認証を誤ってオフに
開発テスト環境から顧客情報流出、外部からの指摘で発覚 - 阿波銀
子会社がランサム被害、受注出荷に影響も生産継続 - 九州電子
