QNAP製NAS製品に複数の脆弱性

  1. 脆弱性の概要
    • QNAP のNAS製品に複数の脆弱性が明らかにされました。
    • これらの脆弱性には、暗号化の強度不足や機密情報の送信、エントロピー不足に関するものが含まれています。
  2. 具体的な脆弱性情報
    • CVE-2023-34971: 暗号化の強度不足に起因する脆弱性
      • ローカルネットワーク内でブルートフォース攻撃によってデータが解読される可能性があります。
      • 重要度は「高(High)」と評価されています。
    • CVE-2023-34972: 機密情報の平文送信に関する脆弱性
      • 未暗号化のまま機密情報が送信される可能性があります。
      • 重要度は「低(Low)」と評価されています。
    • CVE-2023-34973: エントロピー不足に起因する脆弱性
      • エントロピーが不足しているため、機密情報が予測される可能性があります。
      • 重要度は「低(Low)」と評価されています。
  3. 影響を受ける製品と対処法
    • 影響を受ける製品:QNAPのNAS製品
    • 脆弱性はアップデートによって修正されています。
    • 以下のバージョンから修正が施されています:
      • QTS 5.0.1.2425 build 20230609 以降
      • QTS 5.1.0.2444 build 20230629 以降
      • QTS 4.5.4.2467 build 20230718 以降
      • QuTS hero h5.1.0.2424 build 20230609 以降
      • QuTS hero h4.5.4.2476 build 20230728 以降
  4. 対応策
    • QNAP Systems は利用者に対して、最新版のアップデートを適用するよう呼びかけています。