지원 - Q-SYS

보안 노트: Log4j 취약점 및 Q-SYS 제품

CVE-2021-44228

초기 업데이트: 2021년 12월 13일

Log4j는 Apache 재단에서 개발하고 유지 관리하는 인기 있는 Java 라이브러리입니다. 이 라이브러리는 많은 상업용 및 오픈 소스 소프트웨어 제품에서 Java용 로깅 프레임워크로 널리 채택되어 사용되고 있습니다. 널리 사용되는 Apache Log4j 자바 로깅 라이브러리에서 새로 발견된 제로데이 취약점을 악용하여 공격자가 영향을 받는 서버에서 원격 코드 실행을 활성화할 수 있습니다.

이 취약점에 대응하기 위해 QSC 엔지니어링 및 개발 팀은 모든 Q-SYS 소프트웨어, 서비스 및 제품에 대한 검토를 완료했으며, 다음을 포함한 Q-SYS 솔루션이 Log4j 취약점을 이용하는 기술에 취약하지 않은 것으로 확인되었습니다:

모든 Q-SYS Core 및 주변 장치
모든 Q-SYS software applications
Q-SYS Reflect
QSC-ID 인증 플랫폼

QSC는 고객 시스템의 보안을 매우 중요하게 생각하며, 따라서 엔지니어링 및 개발 팀은 지속적으로 상황을 사전에 모니터링하고 필요에 따라 이 페이지에 업데이트를 제공할 것입니다.

보안 패치와 기능은 무료 Q-SYS 펌웨어 업데이트를 통해 정기적으로 출시되며, 작성 당시 Q-SYS v9는 Q-SYS 소프트웨어의 최신, 지원되는 메인 브랜치입니다. 최신 보안 기능과 패치로 시스템을 보호하려면 사용 가능한 최신 펌웨어 버전을 설치하는 것이 좋습니다. 최신 Q-SYS 펌웨어 업데이트에 액세스하려면 https://www.qsys.com/qds를 방문하세요.

보안 노트: Spectre CPU 취약성

마지막 업데이트: 2018년 1월 10일

Spectre는 최근 Intel, AMD, ARM 등의 제조업체에 영향을 미치는 일반적인 CPU Architecture 에서 확인된 취약점입니다. QSC는 Q-SYS 플랫폼에서 인텔 및 ARM 프로세서를 활용하므로 Q-SYS는 이 문제에 민감합니다. 그러나 QSC는 다음과 같은 이유로 이것이 위험이 낮다고 생각합니다.

이 취약점을 이용하는 기술을 대응하기 위해서는 시스템에서 임의의 코드를 실행해야 합니다.
임의 코드를 실행하려면 전체 시스템 액세스가 필요하며, Q-SYS Core에서는 기본적으로 비활성화되어 있습니다.
Q-SYS Core는 공격자가 로컬에서 코드를 실행할 수 있는 방법을 쉽게 제공하지 않는 단일 사용 시스템입니다.

그럼에도 불구하고 QSC는 고객 시스템의 보안을 매우 중요하게 생각하기 때문에 엔지니어링 팀은 상황을 모니터링하고 CPU 공급업체의 패치가 출시되는 대로 테스트하고 있습니다.

Q-SYS 고객이 언제 패치를 사용할 수 있는지에 대한 자세한 내용은 여기에서 다시 확인하세요.

보안 노트: 멜트다운 CPU 취약성

마지막 업데이트: 2018년 1월 10일

멜트다운은 최근 최신 CPU Architecture 에서 확인된 취약점으로 주로 인텔 CPU 제품에 영향을 미치나 다른 CPU 공급업체에도 영향을 미칠 수 있습니다. QSC는 Q-SYS 플랫폼에서 인텔 및 기타 프로세서를 활용하므로 Q-SYS는 이 문제에 민감합니다. 그러나 QSC는 다음과 같은 이유로 이것이 위험이 낮다고 생각합니다.

이 취약점을 이용하는 기술을 대응하기 위해서는 시스템에서 임의의 코드를 실행해야 합니다.
임의 코드를 실행하려면 전체 시스템 액세스가 필요하며, Q-SYS Core에서는 기본적으로 비활성화되어 있습니다.
Q-SYS Core는 공격자가 로컬에서 코드를 실행할 수 있는 방법을 쉽게 제공하지 않는 단일 사용 시스템입니다.

Q-SYS 고객이 이러한 패치를 언제 사용할 수 있는지에 대한 자세한 내용은 여기에서 다시 확인하세요.