Security Vulnerabilities
安全说明:Log4j漏洞和Q-SYS产品
CVE-2021-44228
初次更新:2021年12月13日
Log4j是一个常用的Java库,由Apache基金会开发和维护。该库作为Java的日志框架,在许多商业软件和开源软件产品中得到了广泛应用。我们在广泛使用的Apache Log4j Java日志资料库中的新发现了一个零日漏洞,攻击者可以利用该漏洞在受影响的服务器上远程执行代码。
针对此漏洞, QSC工程和开发团队审查了所有Q-SYS软件、服务和产品,并确定Q-SYS解决方案不会受到Log4j漏洞的影响,包括:
- 所有Q-SYS Core处理器和外围设备
- 所有Q-SYS应用软件
- Q-SYS Reflect
- QSC-ID验证平台
QSC非常重视客户系统的安全,工程和开发团队将继续主动监控事态发展,并根据需要在页面上发布最新信息。
我们会定期以免费Q-SYS固件更新的形式发布安全补丁和功能,在本文档发布时,Q-SYS v9是Q-SYS软件的主要分支版本。为了确保您的系统能够受到最新安全功能和补丁的保护,QSC建议您安装最新固件版本。如需获取最新的Q-SYS固件,请访问https://www.qsys.com/qds。
安全说明:Spectre CPU漏洞
最后更新:2018年1月10日
Spectre是最近在常见CPU架构中发现的一个漏洞,影响了英特尔、AMD和ARM等制造商。QSC在Q-SYS平台中使用了Intel和ARM处理器,因此Q-SYS容易受到这个问题的影响。不过, QSC认为这个漏洞的风险较低,原因如下:
- 此漏洞需要在系统上执行任意代码
- 要执行任意代码,需要完整的系统访问权限,Q-SYS Core默认禁用完整的系统访问权限
- Q-SYS Core是独立的系统,因此攻击者不太容易在本地执行代码
尽管如此, QSC非常重视客户系统的安全,工程团队正在监控事态发展,并在CPU厂商提供补丁时进行测试。
如需详细了解何时向Q-SYS客户提供补丁,请返回此处。
安全说明:Meltdown CPU安全问题
最后更新:2018年1月10日
Meltdown CPU是最近在现代CPU架构中发现的漏洞,主要影响英特尔CPU产品,但也可能影响其他CPU厂商。QSC在Q-SYS平台中使用了英特尔和其他处理器,因此Q-SYS容易受到这个问题的影响。不过, QSC认为这个漏洞的风险较低,原因如下:
- 此漏洞需要在系统上执行任意代码
- 要执行任意代码,需要完整的系统访问权限,Q-SYS Core默认禁用完整的系统访问权限
- Q-SYS Core是独立的系统,因此攻击者不太容易在本地执行代码
尽管如此, QSC非常重视客户系统的安全,工程团队正在监控事态发展,并在CPU厂商提供补丁时进行测试。
如需详细了解何时向Q-SYS客户提供补丁,请返回此处。
