JVNDB-2015-005200
|
QNAP QTS にパストラバーサルの脆弱性
|
QNAP QTS は、Network Attached Storage (NAS) の OS です。QNAP QTS には、AFP プロトコルで OS X からアクセスされる場合にパストラバーサルの脆弱性が存在します。
相対パストラバーサル (CWE-23) - CVE-2015-6003
Apple Filing Protocol (AFP) を有効にしている場合、OS X のユーザ (認証されていないゲストアカウントを含む) が、QNAP QTS 機器上の任意のファイルを閲覧したり書き換えたりする可能性があります。
CWE-23: Relative Path Traversal
https://cwe.mitre.org/data/definitions/23.html
Apple Filing Protocol
https://developer.apple.com/library/mac/documentation/Networking/Conceptual/AFP/Introduction/Introduction.html
AFP を有効にしているユーザのみが本脆弱性の影響を受けます。製品のドキュメントによれば、初期設定では AFP は無効になっています。
詳しくは、開発者が提供するアドバイザリをご確認ください。
アドバイザリ
https://www.qnap.com/i/en/support/con_show.php?cid=85
|
CVSS v2 による深刻度 基本値: 9.3 (危険) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 全面的
- 完全性への影響(I): 全面的
- 可用性への影響(A): 全面的
|
|
QNAP Systems
- QNAP QTS 4.1.4 Build 0910 より前のバージョン
- QNAP QTS 4.2.0 RC2 Build 0910 より前のバージョン
|
|
Apple Filing Protocol (AFP) を有効にしている場合、機器上の任意のファイルを閲覧されたり書き換えられたりする可能性があります。
|
[ファームウェアをアップデートする]
開発者が提供する情報をもとに、ファームウェアをアップデートしてください。
開発者は、本脆弱性の対策版として QTS 4.1.4 Build 0910 および QTS 4.2.0 RC2 (Build 0910) をリリースしています。
|
QNAP Systems
|
- その他(CWE-Other) [IPA評価]
- パス・トラバーサル(CWE-22) [NVD評価]
|
- CVE-2015-6003
|
- JVN : JVNVU#96884018
- National Vulnerability Database (NVD) : CVE-2015-6003
- US-CERT Vulnerability Note : VU#751328
|
- [2015年10月14日]
掲載
[2015年10月19日]
参考情報:National Vulnerability Database (NVD) (CVE-2015-6003) を追加
CVSS による深刻度:内容を更新
CWE による脆弱性タイプ一覧:CWE-ID を追加
|