release 20210220
Sårbarhet hos Linuxbaserad utrustning som använder Sudo
UC- /MC- /V- /DA- /MPC- /ioThinx4530 serierna
Vi vill även på detta sätt uppmärksamma våra kunder som använder utrustning som är Linuxbaserad och använder verktyget Sudo att en sårbarhet upptäckts. Verktyget Sudo ingår i många Linux-baserade operativsystem och används för att hantera användares behörigheter. En sårbarhet har upptäckts vilken utnyttjar buffertöverskridning i högen främst i Sudos versioner 1.8.2 till 1.8.31p2 och 1.9.0 till 1.9.5p1, den klassas till nivå 7,8. En angripare kan utnyttja detta och på så sätt tillskansa sig kontroll över det angripna systemet, buggen kan utnyttjas av användare oavsett tidigare behörighet. Vänligen notera att utredning pågår och fler åtgärder kan behöva vidtas. Drabbade distributioner är nästan alla Unix-lika operativsystem och för att nämna några t.ex Debian, Ubuntu, Fedora, macOS, Solaris m.fl. Berörd Moxa-utrustning listas nedan. Kundanpassade program hanteras separat. Kontakta Cat support om ni har frågor kring detta.
Typ av säkerhetsproblem |
Påverkar: |
|||
1 | Anskaffa priviligierad behörighet | En användare kan anskaffa sig högre behörighet till root vilket möjliggör skriv och förändringsmöjlighet i enhetens inställningar och åtkomst. | ||
Berörda produktserier, versioner och lösningar |
||||
ARM datorer | ||||
UC-2100 Series UC-2100-W UC-3100 Series UC-5100 Series UC-8100 Series UC-8100A-ME-T Series |
Moxa Industrial Linux v1.0 | |||
UC-8100-ME-T Series | Debian 8.x | |||
UC-8100-ME-T Series UC-8200 Series |
Moxa Industrial Linux v1.0 | |||
UC-8410A Series | Debian 8.x | |||
UC-8410A | Moxa Industrial Linux v1.0 | |||
UC-8540 Series | Debian 8.x | |||
UC-8580 Series | Series Moxa Industrial Linux v1.0 | |||
x86 datorer | ||||
MC-1100 Series | Debian 8.x | |||
MC-1100 Series MC-1200 Series |
Debian 9.x | |||
V2201 Series V2403 Series |
Debian 9.x | |||
V2406A Series | Debian 8.x | |||
V2406C Series | Debian 7.x | |||
V2416A Series | Debian 9.x | |||
V2426A Series V2616A Series DA-681C Series |
Debian 7.x | |||
DA-681A Series | Debian 9.x | |||
DA-682C Series | Debian 8.x | |||
DA-720 Series | Debian 9.x | |||
DA-820C Series | Debian 8.x | |||
Paneldatorer och skärmar | ||||
MPC-2070 Series MPC-2101 Series MPC-2120 Series MPC-2121Series |
Debian 9.x | |||
Fjärr I/O | ||||
ioThinx 4530 Series | Firmware ver 1.3 eller tidigare (lägre siffra) | |||
LösningMoxa har tagit fram programfixar för att förhindra den ovan beskrivna sårbarheten, vänligen notera att sårbarheten fortfarande (v9 2021) är under utredning vilket kan resulterar i att fler motåtgärder kan behövas framöver. Debian 7.x och Debian 8.x stöds ej längre av Debian community och åtgärder för att förhindra åtkomst samt uppgradering till Debian 9 eller 10 rekommenderas därmed. Moxa Industrial Linux har 10 års extra support. Säkerställ att enheterna skyddas från obehöriga.
|
||||
Instructions how to adress the vulnerabilities |
||||
For firmware with Debian 8.x version, follow the steps below to upgrade the SUDO package to version 1.8.10p3-1+deb8u8. For firmware with Debian 9.x or Moxa Industrial Linux (MIL) version, follow the steps below to upgrade the SUDO package to version 1.8.19p1-2.1+deb9u3e. |
||||
Solution 1: Upgrade package from the Moxa Debian repository Step 1. Update the apt information Step 2. Install the SUDO package Note: The debian.moxa.com repo has been configured inside the system. If you cannot access the repo normally. Please check if the Moxa Debian repository is in the apt source list. |
||||
Solution 2: Download the file from the Moxa Debian repository, and then upload the deb file to the device (via USB, SD, SCP etc.) to perform the update. Step1. Download Sudo’s latest deb file: Step2. Upload the deb file to the device via USB/SD Card or SCP command etc. Step3. Use the dpkg -i command to install the deb file. For firmware with Debian 7.x version, no patch is available since the LTS (Long-term Support) by Debian community ended on May 31, 2018. |
||||
|
||||
Version 1.0 | Information distribuerad 20210217, FWs versionsdatum kan vara tidigare. | |||
Referenser | CVE-2021-3156 Sudo Advisory Qualys Blog |
|||
Läs mer om kända problem på sidan om säkerhetsrådgivning, klicka här |
||||
Med UC-8200 serien som bygger på Moxa Industrial Linux behöver ni endast ladda ner nya Sudo versionen 1.8.19p1-2.1+deb9u3e och installera deb filen. Följ stegen ovan. |