Qsync Centralの脆弱性について
QNAP製NAS用のアプリであるQsync Centralにつきまして、脆弱性が確認されています。この脆弱性に対処するため、Qsync Centralの修正プログラムがQNAPから提供開始されています。
Qsync CentralまたはQTSの更新をお願い致します。これにより本脆弱性の影響を回避することができます。
重大度: 高
対象FWバージョン:
- QTS 4.2.6 build 20180711 およびそれ以前
- QTS 4.3.3: Qsync Central 3.0.2 およびそれ以前
- QTS 4.3.4: Qsync Central 3.0.3 およびそれ以前
- QTS 4.3.5: Qsync Central 3.0.4 およびそれ以前
対策バージョン:
- QTS 4.2.6 build 20180829 およびそれ以降
- QTS 4.3.3: Qsync Central 3.0.2.01 およびそれ以降
- QTS 4.3.4: Qsync Central 3.0.3.01 およびそれ以降
- QTS 4.3.5: Qsync Central 3.0.4.01 およびそれ以降
問題の概要: 対象バージョンのQsync Central(またはQTS4.2.6) は、クロスサイトスクリプティングの脆弱性があり、悪意のあるアプリによりJavascriptのコードを実行される可能性があります。
対策
問題を回避するには、以下を行ってください。- QTS 4.2.6の場合:QTSを最新版に更新してください。
- QTS 4.3.3, 4.3.4, 4.3.5の場合:Qsync Centralを最新版に更新してください。
Qsync Centralの更新
- QTSに管理者としてログオンします。
- App Centerを開きます。旧バージョンのQsync Centralがすでにインストールされている場合、更新を促すダイアログが表示されますので従ってください。
- 更新を促すダイアログが表示されない場合、検索アイコンをクリックします。
- "Qsync Central"とタイプして検索します。
検索結果にQsync Centralが表示されます。 - 「アップデート」をクリックしてください。アプリが更新されます。
QTSの更新
お使いのNASを最新のバージョンに更新してください。
- QTSに管理者としてログインします。
- 「コントロールパネル」 > 「システム」 > 「ファームウェア更新」を選択します。
- 「ライブ更新」のタブの中の、「更新の確認」を選択します。
- 表示される指示に従って更新を行ってください。再起動を促すダイアログが表示された場合には「再起動」を選択してください。
なお、QTSをパソコンにダウンロードして手動で更新することもできます。外部のネットワークに接続されていないなどの理由でライブ更新ができない場合には、手動で更新してください。
ご参考
本脆弱性に関する情報 https://www.qnap.com/ja-jp/security-advisory/nas-201811-29
本情報は2018年11月29日にQNAP社より公開されたものです。