サポート - QSC

セキュリティに関する注： Log4j の脆弱性と Q-SYS 製品

CVE-2021-44228

初回更新日：2021年12月13日

Log4j は、Apache 財団によって開発および維持されている一般的な Javaライブラリーです。このライブラリーは、Java のロギングフレームワークとして、多くの商用およびオープンソースソフトウェア製品で広く採用され、使用されています。広く使用されている Apache Log4j Java ログライブラリーで新たに発見されたゼロデイ脆弱性が悪用され、攻撃者が影響を受けるサーバーでリモートコード実行を可能にする可能性があります。

この脆弱性に対応して、 QSCエンジニアリングチームと開発チームは、すべての Q-SYS ソフトウェア、サービス、製品のレビューを完了し、Q-SYS ソリューションが Log4j エクスプロイトに対して脆弱ではないと判断しました。これには次のようなものがあります。

すべてのQ-SYS Coreおよびペリフェラルデバイス
すべてのQ-SYSソフトウェアアプリケーション
Q-SYS Reflect
QSC-ID 認証プラットフォーム

QSCはお客様のシステムのセキュリティを非常に重視しており、その結果、エンジニアリングおよび開発チームは引き続き積極的に状況をモニターし、必要に応じてこのページに更新を提供していきます。

セキュリティパッチと機能は、無料の Q-SYS ファームウェアアップデートを通じて定期的にリリースされ、記事の執筆時点では、 Q-SYS v9 が最新のサポートされている Q-SYS ソフトウェアのメインブランチです。最新のセキュリティ機能とパッチでシステムを保護し続けるために、 QSCは利用可能な最新のファームウェアバージョンをインストールすることをお勧めします。最新のQ-SYSファームウェアアップデートにアクセスするには、 https://www.qsys.com/qdsをご覧ください。

セキュリティに関する注： Spectre CPU の脆弱性

最終更新日：2018年1月10日

Spectre は、一般的な CPU アーキテクチャーで最近確認された脆弱性で、Intel、AMD、ARM などのメーカーに影響を与えます。QSCは Q-SYS プラットフォーム全体で Intel および ARM プロセッサーを活用しているため、Q-SYS はこの問題の影響を受けやすくなります。ただし、 QSCは、次の理由により、これのリスクは低いと考えています。

このエクスプロイトは、システム上で任意のコードを実行する必要があります。
任意のコードを実行するには、完全なシステムアクセスが必要であり、これはQ-SYS Coreではデフォルトで無効になっています。
Q-SYS Coreは、攻撃者がローカルでコードを実行する方法を簡単に提供しない使い捨てのシステムです。

それにもかかわらず、 QSCはお客様のシステムのセキュリティを非常に重視しており、その結果、エンジニアリングチームは状況を監視し、CPUベンダーからのパッチが利用可能になり次第、テストしています。

Q-SYS のお客様にパッチがいつ提供されるかについての詳細は、こちらをご覧ください。

セキュリティー注： CPU メルトダウンの脆弱性

最終更新日：2018年1月10日

Meltdown は、最新の CPU アーキテクチャーで最近確認された脆弱性で、主に Intel CPU 製品に影響を与えますが、他の CPU ベンダーに影響を与える可能性があります。QSCは Q-SYS プラットフォーム全体で Intel やその他のプロセッサーを活用しているため、Q-SYS はこの問題の影響を受けやすくなります。ただし、 QSCは、次の理由により、これのリスクは低いと考えています。

このエクスプロイトは、システム上で任意のコードを実行する必要があります。
任意のコードを実行するには、完全なシステムアクセスが必要であり、これはQ-SYS Coreではデフォルトで無効になっています。
Q-SYS Coreは、攻撃者がローカルでコードを実行する方法を簡単に提供しない使い捨てのシステムです

これらのパッチがQ-SYSのお客様に提供される時期の詳細については、こちらをご覧ください。