威联通修复了NAS设备中的Sudo权限升级错误
台湾供应商威联通(QNAP)警告客户修补影响NAS设备的高严重性Sudo权限升级错误。
台湾供应商QNAP警告客户更新其网络附加存储(NAS)设备,以解决被追踪为CVE-2023-22809的高危Sudo权限升级漏洞。
该公司表示,该漏洞影响QTS、QuTS hero、QuTScloud和QVP(QVR Pro 设备)QNAP操作系统。
该漏洞由安全公司Synacktiv发现,它是在使用sudoedit时Sudo版本1.9.12p1中的sudoers策略绕过。攻击者可以通过在将任意条目附加到要处理的文件列表后编辑未经授权的文件来触发该漏洞以实现权限提升。
“Sudo使用用户提供的环境变量让用户选择他们喜欢的编辑器。这些变量的内容扩展了传递给sudo_edit()函数的实际命令。但是,后者依赖于 — 参数的存在来确定要编辑的文件列表。在授权环境变量之一中注入一个额外的参数可以改变这个列表,并通过使用RunAs用户的权限编辑任何其他文件来导致权限升级。”“这个问题发生在 sudoers 策略验证之后。”
该公司已经修复了以下操作系统版本中的缺陷:
- QTS 5.0.1.2346构建20230322及更高版本
- QuTS hero h5.0.1.2348 build 20230324及更高版本
“QNAP正在紧急修复QuTScloud和QVP中的漏洞。”“请定期检查此安全公告是否有更新,并尽快将您的操作系统更新到最新的推荐版本。”
该公司建议定期将NAS系统更新到最新版本。
以下是公告中提供的有关保护受影响设备的说明:
更新QTS、QuTS Hero或QuTScloud
- 以管理员身份登录QTS、QuTS Hero或QuTScloud。
- 转到控制面板 > 系统 > 固件更新。
- 在实时更新下 ,单击 检查更新。
系统下载并安装最新的可用更新。
提示: 您也可以从 QNAP 网站下载更新。转到 支持 > 下载中心 ,然后为您的特定设备执行手动更新。
更新QVP(QVR Pro设备)
- 以管理员身份登录 QVP。
- 转到 控制面板 > 系统设置 > 固件更新。
- 选择 固件更新 选项卡。
- 单击 浏览… 上传最新的固件文件。
提示: 从https://www.qnap.com/go/download下载特定设备的最新固件文件 。 - 单击 更新系统。
系统安装更新。
