QNAP製NASデバイスに影響のある重大な脆弱性へのパッチをリリース(CVE-2023-23368,CVE-2023-23369)

概要(Synopsis)

CVE-2023-23368

QNAPは、QTS、QuTS hero、およびQuTScloudオペレーティングシステムに影響を与える
コマンドインジェクションの脆弱性に対処するセキュリティアップデートをリリースしました。
この脆弱性はCVSSスコア9.8と評価され、遠隔からの攻撃者がネットワーク経由でコマンドを実行できる可能性があります​。

CVE-2023-23369

同様に重要な別のコマンドインジェクションの脆弱性(CVSSスコア9.0)も修正されました。
これはQTS、マルチメディアコンソール、およびメディアストリーミングアドオンに影響を与え、
遠隔からの攻撃者によって同様に悪用される可能性があります​。

影響を受ける製品(Impacted Products)

CVE-2023-23368に影響を受けるバージョン:

  • QTS 5.0.x
  • QTS 4.5.x
  • QuTS hero h5.0.x
  • QuTS hero h4.5.x
  • QuTScloud c5.0.x​1​​2​​3​。

CVE-2023-23369に影響を受けるバージョン:

  • QTS 5.1.x
  • QTS 4.3.6
  • QTS 4.3.4
  • QTS 4.3.3
  • QTS 4.2.x
  • Multimedia Console 2.1.x
  • Multimedia Console 1.4.x
  • Media Streaming add-on 500.1.x
  • Media Streaming add-on 500.0.x​。

対処法(Resolution)

CVE-2023-23368の修正バージョン:

  • QTS 5.0.1.2376(20230421以降)
  • QTS 4.5.4.2374(20230416以降)
  • QuTS hero h5.0.1.2376(20230421以降)
  • QuTS hero h4.5.4.2374(20230417以降)
  • QuTScloud c5.0.1.2374(以降)​。

CVE-2023-23369の修正バージョン:

  • QTS 5.1.0.2399(20230515以降)
  • QTS 4.3.6.2441(20230621以降)
  • QTS 4.3.4.2451(20230621以降)
  • QTS 4.3.3.2420(20230621以降)
  • QTS 4.2.6(20230621以降)
  • Multimedia Console 2.1.2(2023/05/04以降)
  • Multimedia Console 1.4.8(2023/05/05以降)
  • Media Streaming add-on 500.1.1.2(2023/06/12以降)
  • Media Streaming add-on 500.0.0.11(2023/06/16以降)


これらの脆弱性に関するさらなる詳細は、QNAP社のアドバイザリにて確認することができます。

関連リンク:https://www.qnap.com/ja-jp/security-advisories