マルチメディアコンソールおよびMedia Streaming Add-OnにおけるSQLインジェクションの脆弱性

【解決済み】マルチメディアコンソールおよびMedia Streaming Add-OnにおけるSQLインジェクションの脆弱性
Release date: April 16, 2021
Security ID: QSA-21-11
Severity: Critical
CVE identifier: CVE-2020-36195
Affected products: QNAP NAS running Multimedia Console or the Media Streaming add-on
Status: Resolved

【概要】
SQL インジェクションの脆弱性が、Multimedia Console または Media Streaming アドオンを実行している QNAP NAS に影響を与えることが報告されています。

この脆弱性が悪用されると、リモートの攻撃者にアプリケーション情報を取得されてしまいます。

この脆弱性は、以下のバージョンの Multimedia Console および Media Streaming add-on で修正済みです。

QTS 4.3.3: Media Streaming アドオン 430.1.8.10 以降
QTS 4.3.6: メディアストリーミングアドオン 430.1.8.8 以降
QTS 4.4.x およびそれ以降。マルチメディアコンソール 1.3.4 以降
また、以下のバージョンのQTS 4.3.3およびQTS 4.3.6においても、それぞれこの脆弱性を修正しています。

QTS 4.3.3.1624 Build 20210416 またはそれ以降
QTS 4.3.6.1620 ビルド 20210322 またはそれ以降

【推奨】
この脆弱性を修正するには,マルチメディアコンソールまたはMedia Streamingアドオンを最新版にアップデートすることをお勧めします。また、QTS 4.3.3およびQTS 4.3.6を使用している機器では、QTSのアップデートを強く推奨します。

【QTSのアップデート】
QTSに管理者としてログオンします。
コントロールパネル」→「システム」→「ファームウェアアップデート」を選択します。
Live Update」の下で、「Check for Update」をクリックします。
QTSは、利用可能な最新のアップデートをダウンロードしてインストールします。
ヒント:QNAPのウェブサイトからアップデートをダウンロードすることもできます。Support(サポート)」 > 「Download Center(ダウンロードセンター)」にアクセスして、特定のデバイスの手動アップデートを実行します。

マルチメディアコンソールの更新
QTS に管理者としてログオンします。
App Center を開いて、 をクリックします。
検索ボックスが表示されます。
Multimedia Console」と入力して、Enter キーを押します。
検索結果に「マルチメディアコンソール」が表示されます。
アップデート]をクリックします。
確認メッセージが表示されます。
注意:マルチメディアコンソールがすでに最新の状態になっている場合、[更新]ボタンは利用できません。
OK]をクリックします。
アプリケーションが更新されます。
Media Streaming Add-Onをアップデートする
QTS に管理者としてログオンします。
App Center を開いて、 をクリックします。
検索ボックスが表示されます。
Media Streaming add-on」と入力して、ENTERを押します。
検索結果に「Media Streamingアドオン」が表示されます。
更新]をクリックします。
確認メッセージが表示されます。
注意:Media Streamingアドオンがすでに最新の状態になっている場合、[Update]ボタンは利用できません。
OK]をクリックします。
アプリケーションが更新されます。

Acknowledgements: Yaniv Puyeski
Revision History: V1.0 (April 16, 2021) – Published

2021.04.23