Qnap 安全公告:修复 Linux 中的本地权限提升漏洞(脏管道)

预警播报 3个月前 阿Q
109 0

Qnap公司已发布有关修复 Linux 中的本地权限提升漏洞 (Dirty Pipe)的安全公告。

发布日期: 2022 年 3 月 14 日
安全 ID: QSA-22-05
严重性:
CVE 标识符: CVE-2022-0847

受影响的产品: 所有基于 Qnap x86 的 NAS 和一些运行 QTS 5.0.x、QuTS hero h5.0.x 和 QuTScloud c5.0.x 的基于 Qnap ARM 的 NAS

不受影响的产品: Qnap NAS 运行 QTS 4.x 和 QuTS hero h4.x

状态:修复

总结
一个本地提权漏洞,也称为“脏管道”,据报道会影响公司运行 QTS 5.0.x、QuTS hero h5.0.x 和 QuTScloud c5.0.x 的 NAS 上的 Linux 内核。如果被利用,此漏洞允许非特权用户获得管理员权限并注入恶意代码。

以下操作系统版本受到影响:

  • 所有基于 Qnap x86 的 NAS 和某些基于 ARM 的 NAS 上的 QTS 5.0.x
  • 所有基于 Qnap x86 的 NAS 和某些基于 ARM 的 NAS 上的 QuTS hero h5.0.x
  • QuTScloud c5.0.x

有关受影响模型的完整列表,请查看“内核版本 5.10.60”

公司运行 QTS 4.x 和 QuTS hero h4.x 的 NAS 不受影响。

该公司已经修复了以下 QuTS hero 版本中的漏洞:

  • QuTS hero h5.0.0.1949 build 20220215 及更高版本

公司将尽快发布 QTS 和 QuTScloud 的安全更新。

建议
目前没有针对此漏洞的缓解措施。该公司建议用户在安全更新可用时立即检查并安装。

更新 QTS、QuTS hero 或 QuTScloud

  1. 以管理员身份登录 QTS、QuTS hero 或 QuTScloud。
  2. 转到 控制面板 > 系统 > 固件更新
  3. 在 实时更新下,单击 检查更新
    QTS、QuTS hero 或 QuTScloud 下载并安装最新的可用更新。

提示:用户也可以从公司网站下载更新。转到支持 > 下载中心 ,然后为您的特定设备执行手动更新。

修订历史: V1.0(2022 年 3 月 11 日)– 已发布 V1.1(2022 年 3 月 23 日)– QuTS hero 5.0.x 安全更新可用

版权声明:阿Q 发表于 2022-03-30 00:34。
转载请注明:Qnap 安全公告:修复 Linux 中的本地权限提升漏洞(脏管道) | 安全导航

相关文章