Qnap公司已发布有关修复 Linux 中的本地权限提升漏洞 (Dirty Pipe)的安全公告。
发布日期:?2022 年 3 月 14 日
安全 ID:?QSA-22-05
严重性:高
CVE 标识符:?CVE-2022-0847
受影响的产品:?所有基于 Qnap x86 的 NAS 和一些运行 QTS 5.0.x、QuTS hero h5.0.x 和 QuTScloud c5.0.x 的基于 Qnap ARM 的 NAS
不受影响的产品:?Qnap NAS 运行 QTS 4.x 和 QuTS hero h4.x
状态:修复
总结
一个本地提权漏洞,也称为“脏管道”,据报道会影响公司运行 QTS 5.0.x、QuTS hero h5.0.x 和 QuTScloud c5.0.x 的 NAS 上的 Linux 内核。如果被利用,此漏洞允许非特权用户获得管理员权限并注入恶意代码。
以下操作系统版本受到影响:
- 所有基于 Qnap x86 的 NAS 和某些基于 ARM 的 NAS 上的 QTS 5.0.x
- 所有基于 Qnap x86 的 NAS 和某些基于 ARM 的 NAS 上的 QuTS hero h5.0.x
- QuTScloud c5.0.x
有关受影响模型的完整列表,请查看“内核版本 5.10.60”
公司运行 QTS 4.x 和 QuTS hero h4.x 的 NAS 不受影响。
该公司已经修复了以下 QuTS hero 版本中的漏洞:
- QuTS hero h5.0.0.1949 build 20220215 及更高版本
公司将尽快发布 QTS 和 QuTScloud 的安全更新。
建议
目前没有针对此漏洞的缓解措施。该公司建议用户在安全更新可用时立即检查并安装。
更新 QTS、QuTS hero 或 QuTScloud
- 以管理员身份登录 QTS、QuTS hero 或 QuTScloud。
- 转到?控制面板?>?系统?>?固件更新。
- 在?实时更新下,单击?检查更新。
QTS、QuTS hero 或 QuTScloud 下载并安装最新的可用更新。
提示:用户也可以从公司网站下载更新。转到支持?>?下载中心?,然后为您的特定设备执行手动更新。
修订历史:?V1.0(2022 年 3 月 11 日)– 已发布?V1.1(2022 年 3 月 23 日)– QuTS hero 5.0.x 安全更新可用
