release 20210220

Sårbarhet hos Linuxbaserad utrustning som använder Sudo

UC- /MC- /V- /DA- /MPC- /ioThinx4530 serierna

Vi vill även på detta sätt uppmärksamma våra kunder som använder utrustning som är Linuxbaserad och använder verktyget Sudo att en sårbarhet upptäckts. Verktyget Sudo ingår i många Linux-baserade operativsystem och används för att hantera användares behörigheter. En sårbarhet har upptäckts vilken utnyttjar buffertöverskridning i högen främst i Sudos versioner 1.8.2 till 1.8.31p2 och 1.9.0 till 1.9.5p1, den klassas till nivå 7,8. En angripare kan utnyttja detta och på så sätt tillskansa sig kontroll över det angripna systemet, buggen kan utnyttjas av användare oavsett tidigare behörighet. Vänligen notera att utredning pågår och fler åtgärder kan behöva vidtas. Drabbade distributioner är nästan alla Unix-lika operativsystem och för att nämna några t.ex Debian, Ubuntu, Fedora, macOS, Solaris m.fl. Berörd Moxa-utrustning listas nedan. Kundanpassade program hanteras separat. Kontakta Cat support om ni har frågor kring detta.

Typ av säkerhetsproblem

Påverkar:

1 Anskaffa priviligierad behörighet En användare kan anskaffa sig högre behörighet till root vilket möjliggör skriv och förändringsmöjlighet i enhetens inställningar och åtkomst.

Berörda produktserier, versioner och lösningar

ARM datorer
UC-2100 Series
UC-2100-W
UC-3100 Series
UC-5100 Series
UC-8100 Series
UC-8100A-ME-T Series
Moxa Industrial Linux v1.0
UC-8100-ME-T Series Debian 8.x
UC-8100-ME-T Series
UC-8200 Series
Moxa Industrial Linux v1.0
UC-8410A Series Debian 8.x
UC-8410A Moxa Industrial Linux v1.0
UC-8540 Series Debian 8.x
UC-8580 Series Series Moxa Industrial Linux v1.0
x86 datorer
MC-1100 Series Debian 8.x
MC-1100 Series
MC-1200 Series
Debian 9.x
V2201 Series
V2403 Series
Debian 9.x
V2406A Series Debian 8.x
V2406C Series Debian 7.x
V2416A Series Debian 9.x
V2426A Series
V2616A Series
DA-681C Series
Debian 7.x
DA-681A Series Debian 9.x
DA-682C Series Debian 8.x
DA-720 Series Debian 9.x
DA-820C Series Debian 8.x
Paneldatorer och skärmar
MPC-2070 Series
MPC-2101 Series
MPC-2120 Series
MPC-2121Series
Debian 9.x
Fjärr I/O
ioThinx 4530 Series Firmware ver 1.3 eller tidigare (lägre siffra)

Lösning

Moxa har tagit fram programfixar för att förhindra den ovan beskrivna sårbarheten, vänligen notera att sårbarheten fortfarande (v9 2021) är under utredning vilket kan resulterar i att fler motåtgärder kan behövas framöver.  Debian 7.x och Debian 8.x stöds ej längre av Debian community och åtgärder för att förhindra åtkomst samt uppgradering till Debian 9 eller 10 rekommenderas därmed. Moxa Industrial Linux har 10 års extra support. Säkerställ att enheterna skyddas från obehöriga.

  1. 1. Om Debian 7 används så rekommenderas ni att uppgradera till nyare version eftersom LTS utgått. Om Debian 8 används så rekommenderas ni även att uppgradera till nya version.
  2. 2. Följ anvisningar enligt lösning 1 eller 2 nedan (på engelska).
    3. Efter att ha installerat deb filerna kommer er utrustning vara skyddad men följ ärendet vidare då utredning pågår, CVE-2021-3156(Baron Samedit)

Instructions how to adress the vulnerabilities

Symbol Ladda ner
For firmware with Debian 8.x version, follow the steps below to upgrade the SUDO package to version 1.8.10p3-1+deb8u8.
For firmware with Debian 9.x or Moxa Industrial Linux (MIL) version, follow the steps below to upgrade the SUDO package to version 1.8.19p1-2.1+deb9u3e.

Solution 1: Upgrade package from the Moxa Debian repository

Step 1. Update the apt information
root@Linux:~$ apt-get update

Step 2. Install the SUDO package
root@Linux:~$ apt-get install sudo

Note: The debian.moxa.com repo has been configured inside the system. If you cannot access the repo normally. Please check if the Moxa Debian repository is in the apt source list.
Open moxa.source.list in the vi editor.
root@Linux:~$ vi /etc/apt/sources.list.d/moxa.sources.list
If it is not there, add the following line to moxa.source.list
– For Debian 8.x,
deb http://debian.moxa.com/debian jessie main
– For Debian 9.x or MIL,
deb http://debian.moxa.com/debian stretch main

Solution 2: Download the file from the Moxa Debian repository, and then upload the deb file to the device (via USB, SD, SCP etc.) to perform the update.

Symbol Ladda nerStep1. Download Sudo’s latest deb file:
For Debian 8.x amd64 system: Download from here.
For Debian 8.x armhf system: Download from here.
For Debian 9.x or MIL armhf system: Download from here.
For Debian 9.x or MIL amd64 system: Download from here.

Step2. Upload the deb file to the device via USB/SD Card or SCP command etc.

Step3. Use the dpkg -i command to install the deb file.
root@Linux:~$ dpkg -i <deb file name>
e.g.
root@Linux:~$ dpkg -i sudo_1.8.19p1-2.1+deb9u3_armhf.deb

For firmware with Debian 7.x version, no patch is available since the LTS (Long-term Support) by Debian community ended on May 31, 2018.
For firmware with Debian 8.x version, no patch will be available in the future since its LTS by Debian community is ended on June 30, 2020.
Please ensure your device cannot be accessed by unauthorized users to mitigate the risk. Upgrading to Debian 9 (Stretch) or Debian 10 (buster) is also recommended.

 

 

Version 1.0 Information distribuerad 20210217, FWs versionsdatum kan vara tidigare.
Referenser CVE-2021-3156
Sudo Advisory
Qualys Blog
Blått lås över ett och nollor

Läs mer om kända problem på sidan om säkerhetsrådgivning, klicka här

Storebror bland befintliga IIoT Gateways med dubbla SIM, A7 dual-core CPU heter UC-8200 cellular från Moxa

UC-8200 serien kan med fördel användas som en IoT gateway, laddad med A7 dual-core CPU och har plats för 2 SIM-kort. UC-8220 har WiFi/ LTE

Med UC-8200 serien som bygger på Moxa Industrial Linux behöver ni endast ladda ner nya Sudo versionen 1.8.19p1-2.1+deb9u3e och installera deb filen. Följ stegen ovan.

Läs mer om Moxa MIL och UC-8200 serien.

Symbol för Hämta datablad