聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
QNAP 公司提醒客户修复位于 NAS 设备中的一个高危 Sudo 提权漏洞 (CVE-2023-22809)。
该漏洞是由 Synacktiv 安全研究员发现的,被描述为“sudo 用户在使用 sudoedit 时可绕过 Sudo 版本1.9.12p1中的策略”漏洞。如成功利用使用 Sudo 版本1.8.0至1.9.12p1 的未修复设备上的漏洞,可导致攻击者通过将任意条目附加在需处理的文件列表后编辑越权文件的方法,提升权限。
QNAP 在安全公告中指出,该漏洞还影响 QTS、QuTS hero、QuTScloud 和 QVP NAS 操作系统。虽然该漏洞已修复 QTS 和 QuTS hero 平台中,但仍在推出 QuTScloud 和 QVP 安全更新。
QNAP 提醒称,“请定期查看获取安全更新,将操作系统尽快升级到最新推荐版本。为保护您的设备安全,我们建议您定期将系统升级到已修复的最新版本。”
要更新 QTS、QuTS hero 或 QuTScloud,客户需以管理员用户身份登录后,在控制面板>系统>固件更新的“实时更新”下点击“查看更新”选项。或者可以在选择设备的产品类型和型号后,从QNAP公司的下载中心手动下载固件更新。
QNAP 公司并未在安全通告中将 CVE-2023-22809 漏洞标记为已遭在野活跃利用状态。然而,鉴于该漏洞的严重程度以及威胁行动者一直活跃利用 QNAP NAS 安全漏洞,建议客户尽快应用安全更新。
最近,DeadBolt 和 eCh0raix 勒索组织就滥用多个漏洞,加密在互联网设备上暴露的数据,攻击 QNAP NAS 设备。今天,QNAP公司宣布正在修复影响其产品的其它漏洞,位于 OpenSSL、Samba 和QNAP 自身的操作系统中,可被用于执行远程代码和泄漏信息。
https://www.bleepingcomputer.com/news/security/qnap-warns-customers-to-patch-linux-sudo-flaw-in-nas-devices/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~