ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

HBS 3 Hybrid Backup Syncに認証不備の脆弱性 CVE-2021-28799 要アップデート

HBS 3 Hybrid Backup Syncに認証不備の脆弱性 CVE-2021-28799がでているそうで、アップデートが公開されています。

 

情報元はこちら。

 

【セキュリティ ニュース】QNAPのバックアップソリューション「HBS 3」に深刻な脆弱性(1ページ目 / 全1ページ):Security NEXT

 

ローカルやリモートサーバ、クラウドストレージサービスに対応したQNAPのバックアップソリューション「HBS 3 Hybrid Backup Sync」に深刻な脆弱性が明らかとなり、同ソリューションを利用する同社製NAS製品が影響を受けるとのこと。

 

認証不備の脆弱性「CVE-2021-28799」が明らかとなったもの。脆弱性を悪用することで、リモートの第三者が同ソリューションを実行しているNASに対し、ログインすることが可能となる。当初アドバイザリでは、同脆弱性について認証情報がハードコードされている問題としていたが、その後記載は削除されている。

同社は「QTS 4.5.2(HBS 3 Hybrid Backup Sync 16.0.0415)」「QTS 4.3.6(HBS 3 Hybrid Backup Sync 3.0.210412)」および「QuTS hero c4.5.4(HBS 3 Hybrid Backup Sync 16.0.0419)」から「同h4.5.1」以降のバージョンで脆弱性は対処済みであると説明。最新バージョンへアップデートするよう利用者へ呼びかけている。

 

 

公式サイトの情報です。

Improper Authorization Vulnerability in HBS 3 Hybrid Backup Sync - Security Advisory | QNAP

 

Release date: April 22, 2021
Security ID: QSA-21-13
Severity: Critical
CVE identifier: CVE-2021-28799
Affected products: QNAP NAS running HBS 3 Hybrid Backup Sync
Status: Resolved

 

概要
不適切な認証の脆弱性が、HBS3ハイブリッドバックアップ同期を実行しているQNAPNASに影響を与えることが報告されています。

この脆弱性が悪用されると、リモートの攻撃者がデバイスにログインできるようになります。

この脆弱性は、次のバージョンのHBS3ハイブリッドバックアップ同期ですでに修正されています。

QTS 4.5.2:HBS3ハイブリッドバックアップ同期16.0.0415以降
QTS 4.3.6:HBS3ハイブリッドバックアップ同期3.0.210412以降
QuTSヒーローh4.5.1:HBS3ハイブリッドバックアップ同期16.0.0419以降
QuTScloud c4.5.1〜c4.5.4:HBS3ハイブリッドバックアップ同期16.0.0419以降

 

勧告
この脆弱性を修正するには、HBS 3 Hybrid BackupSyncを最新バージョンに更新することをお勧めします。

 

HBS3ハイブリッドバックアップ同期の更新
①管理者としてQTSまたはQuTSヒーローにログオンします。
②App Centerを開き、をクリックします。
検索ボックスが表示されます。
③「HBS3Hybrid Backup Sync」と入力し、Enterキーを押します。
HBS3ハイブリッドバックアップ同期が検索結果に表示されます。
④[更新]をクリックします。
確認メッセージが表示されます。
注: HBS 3ハイブリッドバックアップ同期がすでに最新の場合、[更新]ボタンは使用できません。
⑤[OK]をクリックします。
アプリケーションが更新されます。

 

詳細は公式サイトを確認してください。

Anker ウルトラスリム Bluetooth ワイヤレスキーボード iOS/Android/Mac/Windows対応/長時間稼働 ホワイト テレワーク リモート 在宅勤務