HBS 3 Hybrid Backup Syncに認証不備の脆弱性 CVE-2021-28799がでているそうで、アップデートが公開されています。
情報元はこちら。
【セキュリティ ニュース】QNAPのバックアップソリューション「HBS 3」に深刻な脆弱性(1ページ目 / 全1ページ):Security NEXT
ローカルやリモートサーバ、クラウドストレージサービスに対応したQNAPのバックアップソリューション「HBS 3 Hybrid Backup Sync」に深刻な脆弱性が明らかとなり、同ソリューションを利用する同社製NAS製品が影響を受けるとのこと。
認証不備の脆弱性「CVE-2021-28799」が明らかとなったもの。脆弱性を悪用することで、リモートの第三者が同ソリューションを実行しているNASに対し、ログインすることが可能となる。当初アドバイザリでは、同脆弱性について認証情報がハードコードされている問題としていたが、その後記載は削除されている。
同社は「QTS 4.5.2(HBS 3 Hybrid Backup Sync 16.0.0415)」「QTS 4.3.6(HBS 3 Hybrid Backup Sync 3.0.210412)」および「QuTS hero c4.5.4(HBS 3 Hybrid Backup Sync 16.0.0419)」から「同h4.5.1」以降のバージョンで脆弱性は対処済みであると説明。最新バージョンへアップデートするよう利用者へ呼びかけている。
公式サイトの情報です。
Improper Authorization Vulnerability in HBS 3 Hybrid Backup Sync - Security Advisory | QNAP
Release date: April 22, 2021
Security ID: QSA-21-13
Severity: Critical
CVE identifier: CVE-2021-28799
Affected products: QNAP NAS running HBS 3 Hybrid Backup Sync
Status: Resolved
概要
不適切な認証の脆弱性が、HBS3ハイブリッドバックアップ同期を実行しているQNAPNASに影響を与えることが報告されています。
この脆弱性が悪用されると、リモートの攻撃者がデバイスにログインできるようになります。
この脆弱性は、次のバージョンのHBS3ハイブリッドバックアップ同期ですでに修正されています。
QTS 4.5.2:HBS3ハイブリッドバックアップ同期16.0.0415以降
QTS 4.3.6:HBS3ハイブリッドバックアップ同期3.0.210412以降
QuTSヒーローh4.5.1:HBS3ハイブリッドバックアップ同期16.0.0419以降
QuTScloud c4.5.1〜c4.5.4:HBS3ハイブリッドバックアップ同期16.0.0419以降
勧告
この脆弱性を修正するには、HBS 3 Hybrid BackupSyncを最新バージョンに更新することをお勧めします。
HBS3ハイブリッドバックアップ同期の更新
①管理者としてQTSまたはQuTSヒーローにログオンします。
②App Centerを開き、をクリックします。
検索ボックスが表示されます。
③「HBS3Hybrid Backup Sync」と入力し、Enterキーを押します。
HBS3ハイブリッドバックアップ同期が検索結果に表示されます。
④[更新]をクリックします。
確認メッセージが表示されます。
注: HBS 3ハイブリッドバックアップ同期がすでに最新の場合、[更新]ボタンは使用できません。
⑤[OK]をクリックします。
アプリケーションが更新されます。
詳細は公式サイトを確認してください。
 |
|
Anker ウルトラスリム Bluetooth ワイヤレスキーボード iOS/Android/Mac/Windows対応/長時間稼働 ホワイト テレワーク リモート 在宅勤務 |
