QNAP ແຈ້ງເຕືອນລູກຄ້າຮີບອັບເດດ ເພື່ອແກ້ໄຂຊ່ອງໂຫວ່ຂອງ Linux Sudo ໃນອຸປະກອນ NAS

QNAP ຜູ້​ຈຳ​ໜ່າຍ​ຮາ​ດ​ແວ​ດ້ານ​ການ​ສຳ​ຮອງ​ຂໍ້​ມູນ​ ໄດ້​ແຈ້ງ​ເຕືອນ​​ຜູ້​ໃຊ້​ງານ​ໃຫ້​ຮີບ​ທຳການ​ອັບ​ເດດ​ດ້ານ​ຄວາມ​ປອດໄ​ພ​ໃນ​ອຸປະກອນ​ຈັດ​ເກັບ​ຂໍ້​ມູນ​ເທິງ​ເຄືອ​ຂ່າຍ Network-Attached Storage ທີ່​ໃຊ້​ງານ​ເທິງ​ລະບົບ Linux.
ຊ່ອງໂຫວ່ ລະຫັດ CVE-2023-22809 (ຄະ​ແນນ CVSS 7.8/10 ລະ​ດັບ​ຄວາມ​ຮຸນແຮງ​ສູງ) ເປັນ​ຊ່ອງ​ໂຫວ່​ການ bypass sudoers policy ໃນ Sudo ຮຸ່ນ 1.9.12p1 ເມື່ອ​ໃຊ້ sudoedit ເຮັດໃຫ້​ສາມາດ​ເພີ່ມ​ລະ​ດັບ​ສິດ​ໂດຍ​ການ​ແກ້​ໄຂ​ໄຟ​ລ​໌​ທີ່​ບໍ່​ໄດ້ຮັບ​ອະນຸຍາດ ໂດຍ​ການ​ເພີ່ມ arbitrary entries ລົງ​ໃນ​ລາຍ​ການ​ໄຟ​ລ​໌​ທີ່​ຕ້ອງ​ດຳ​ເນີນ​ການ ຊຶ່ງ​ສົ່ງ​ຜົນ​ກະທົບ​ຕໍ່​ອຸປະກອນ​ທີ່​ໃຊ້ Sudo ຮຸ່ນ 1.8.0 ເຖິງ 1.9.12p1 ລວມໄປ​ເຖິງ​ລະບົບ​ປະຕິບັດການ NAS ຂອງ QTS, QuTS Hero, QuTScloud ແລະ QVP (QVR Pro).
ການ​ປ້ອງ​ກັນ
ທຳການ​ອັບ​ເດດ ​ເພື່ອ​ແກ້​ໄຂ​ຊ່ອງ​ໂຫວ່​ໂດຍ​ທັນ​ທີ​ ຈາກ QNAP ໂດຍ​ການ​ເລືອກ​ປະ​ເພດ​ຜະລິດຕະພັນ ແລະ ​ຮຸ່ນ​ຂອງ​ອຸປະກອນ ຫາກ​ຕ້ອງ​ການ​ອັບ​ເດດ QTS, QuTS Hero ຫລື QuTScloud ຜູ້​ໃຊ້​ງານ​ຕ້ອງ​ຄລິກ​ຕົວ​ເລືອກ “Check for Update” ໃນ​ສ່ວນ “Live Update” ຫຼັງ​ຈາກ​ເຂົ້າ​ສູ່​ລະບົບ​ ໃນ​ຖານະ​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ ແລະ​ ໄປ​ທີ່ Control Panel > System > Firmware Update.
ທີ່ມາ: bleepingcomputer
1,115 Views