QNAP製品に特権昇格の脆弱性、Linuxカーネルの「Dirty Pipe」脆弱性が原因
QNAP Systemsは3月14日(米国時間)、「Local Privilege Escalation Vulnerability in Linux (Dirty Pipe) - Security Advisory|QNAP (US)」において、同社のストレージ製品に特権昇格の脆弱性が存在すると伝えた。この脆弱性を悪用されると、一般ユーザーが管理者権限を取得し、不正なコードを挿入することが可能になるとしている。同社は現在、調査を進めており、準備が整い次第セキュリティアップデートと詳細情報の開示を行うと説明している。
![](https://image.news.livedoor.com/newsimage/stf/6/e/6e62b_1223_7b3dcd4482c9545192a1633d1a07b417.jpg)
Local Privilege Escalation Vulnerability in Linux (Dirty Pipe) - Security Advisory|QNAP (US)
脆弱性が存在するとされる製品は次のとおり。
QNAP NAS (x86ベース、QTS 5.0.xまたはQuTS hero h5.0.xを実行)
QNAP NAS (ARMベース、QTS 5.0.xまたはQuTS hero h5.0.xを実行)のうちいくつかのモデル
QTS 4.xを実行しているQNAP NASは、この脆弱性の影響を受けないとされている。
この脆弱性は先日Linuxカーネルに発見された、通称「Dirty Pipe」と呼ばれる特権昇格の脆弱性に関係がある(参考「Linuxに特権昇格の脆弱性「Dirty Pipe」、アップデートを | TECH+」)。このため、該当するLinuxカーネルを使っている製品が影響を受けるとされており、影響を受けるより詳しい製品一覧を「Kernel List | QNAP (US)」で確認することができる。
QNAP Systemsは現在の状態を「調査中」としている。該当する製品を使用している場合にはQNAPからのセキュリティアップデート情報に注意するとともに、アップデートが提供された場合は迅速に適用することが望まれる。
![](https://image.news.livedoor.com/newsimage/stf/6/e/6e62b_1223_7b3dcd4482c9545192a1633d1a07b417.jpg)
脆弱性が存在するとされる製品は次のとおり。
QNAP NAS (x86ベース、QTS 5.0.xまたはQuTS hero h5.0.xを実行)
QNAP NAS (ARMベース、QTS 5.0.xまたはQuTS hero h5.0.xを実行)のうちいくつかのモデル
QTS 4.xを実行しているQNAP NASは、この脆弱性の影響を受けないとされている。
この脆弱性は先日Linuxカーネルに発見された、通称「Dirty Pipe」と呼ばれる特権昇格の脆弱性に関係がある(参考「Linuxに特権昇格の脆弱性「Dirty Pipe」、アップデートを | TECH+」)。このため、該当するLinuxカーネルを使っている製品が影響を受けるとされており、影響を受けるより詳しい製品一覧を「Kernel List | QNAP (US)」で確認することができる。
QNAP Systemsは現在の状態を「調査中」としている。該当する製品を使用している場合にはQNAPからのセキュリティアップデート情報に注意するとともに、アップデートが提供された場合は迅速に適用することが望まれる。