QNAP съобщи, че много от нейните NAS системи са уязвими към по-рано открит бъг на Dirty Pipe. Тази грешка прави Ескалация на франчайз Възможно е, когато нападателите имат достъп до системата локално. По-късно компанията ще пусне пачове за своите системи.
QNAP . пише че много от неговите системи са предразположени към грешки Вече открит† Всички x86 NAS системи, работещи с QTS версия 5.0 или QuTS hero h5.0 или по-нова, са изложени на риск. Същото важи и за „определени“ модели Arm с тези версии на ОС. Системите QNAP, работещи с QTS 4, не са изложени на риск.
Уязвимостта присъства във всички версии на ядрото на Linux от 5.8 нататък. прави грешка Ескалация на местния франчайз възможен. Това позволява на нападателите с локален достъп до NAS системата да изпълняват команди като root и да въвеждат свой собствен код. Уязвимостта не може да бъде използвана от разстояние.
Слабостта в мръсните тръби се нарича CVE-2022-0847† Това е грешка в структурата на буфера на ядрото на Linux, която нападателите могат да използват, за да се придвижат до страници в ядрото на Linux. Кеш на страницата За да получите администраторски права в системата. Оттогава актуализацията е закърпена в ядрото на Linux.
QNAP дава на уязвимостта „високо“ ниво на сериозност. Компанията казва, че разследва уязвимостта. По-късно производителят на NAS ще пусне повече информация и актуализации за сигурност на своите системи, които коригират уязвимостта. Не се знае точно кога ще се случи това.
Актуализация, 11.12: Статията обяснява, че това е уязвимост в Linux, а не просто грешка в системите QNAP.
„Страстен мислител. Twitter maven. Склонен към пристъпи на апатия. Приветлив музикален експерт. Фен на алкохола на свободна практика. Фанатик на бирата.“