QNAP вносит изменения в свои ОС, чтобы устранить уязвимость sudo

Тайваньский производитель выпустил первые патчи для NAS-устройств, затронутых проблемой повышения привилегий, недавно выявленной в sudo. Пользователей призывают обновить прошивки в кратчайшие сроки.

Уязвимость CVE-2023-22809 в программе администрирования Linux связана с возможностью обхода политики sudoers с помощью команды sudoedit. Эксплойт позволяет повысить локальные привилегии до root через изменение системных файлов. Исправленная версия утилиты вышла в середине января.

Согласно бюллетеню QNAP, опасная проблема актуальна для ОС QTS, QuTS hero, QuTScloud и QVP, используемой в системах видеонаблюдения QVR Pro. Первые две уже пропатчены, новые сборки вышли как QTS 5.0.1.2346 build 20230322 и QuTS hero h5.0.1.2348 build 20230324.

Обновление прошивки можно запустить из админ-панели или выполнить вручную, зайдя в Центр загрузок техподдержки QNAP. В QuTScloud и QVP изменения пока не внесены, но работам в этом направлении отдан высший приоритет.

Одновременно вендор устранил менее опасные уязвимости в QTS и QuTS hero:

• выполнение произвольных команд и раскрытие конфиденциальной информации (в обоих случаях требуется аутентификация);
• проблемы, связанные с использованием OpenSSL (сама криптобиблиотека была пропатчена в начале февраля);
• проблемы переполнения буфера, связанные с использованием набора программ Samba.