自 2022 年 6 月 15 日起,本网站不再支持 Internet Explorer。 请使用其他浏览器访问我们的网站,以获得最佳的浏览体验。

产品支持

安全公告

概述

Moxa 对 Sudo 堆缓冲区溢出漏洞 (CVE-2021-3156) 的响应

Sudo 是很多基于 Linux 的操作系统常用的应用程序,它帮助用户使用另一个用户的安全权限运行程序。在 Sudo 1.8.2 到 1.8.31p2 以及 1.9.0 到 1.9.5p1 的版本中发现了一个堆缓冲区溢出漏洞。攻击者可利用该漏洞控制受影响的系统。

Moxa 网络安全响应团队 (CSRT) 对此进行了深入了解且正在采取适当行动。如有关于该漏洞或其对 Moxa 产品影响的最新消息,我们将立即发布更新。

受影响产品与解决方案

受影响的产品

受影响的产品和固件版本如下所示:

产品类别 产品系列 受影响的版本
Arm 架构计算机 UC-2100 系列 Moxa 工业 Linux v1.0
UC-2100-W 系列 Moxa 工业 Linux v1.0
UC-3100 系列 Moxa 工业 Linux v1.0
UC-5100 系列 Moxa 工业 Linux v1.0
UC-8100 系列 Moxa 工业 Linux v1.0
UC-8100A-ME-T 系列 Moxa 工业 Linux v1.0
UC-8100-ME-T 系列 Debian 8.x
UC-8100-ME-T 系列 Moxa 工业 Linux v1.0
UC-8200 系列 Moxa 工业 Linux v1.0
UC-8410A 系列 Debian 8.x
UC-8410A 系列 Moxa 工业 Linux v1.0
UC-8540 系列 Debian 8.x
UC-8580 系列 Moxa 工业 Linux v1.0
x86 计算机 MC-1100 系列 Debian 8.x
MC-1100 系列 Debian 9.x
MC-1200 系列 Debian 9.x
V2201 系列 Debian 9.x
V2403 系列 Debian 9.x
V2406A 系列 Debian 8.x
V2406C 系列 Debian 7.x
V2416A 系列 Debian 9.x
V2426A 系列 Debian 7.x
V2616A 系列 Debian 7.x
DA-681C 系列 Debian 7.x
DA-681A 系列 Debian 9.x
DA-682C 系列 Debian 8.x
DA-720 系列 Debian 9.x
DA-820C 系列 Debian 8.x
平板计算机和显示器 MPC-2070 系列 Debian 9.x
MPC-2101 系列 Debian 9.x
MPC-2120 系列 Debian 9.x
MPC-2121 系列 Debian 9.x
控制器和远程 I/O ioThinx 4530 系列 固件版本 1.3 或更早版本

 

解决方案

Moxa 已制定合理方案修复上述漏洞。针对受影响产品的解决方案如下所示:

产品类别 产品系列 解决方案
Arm 架构计算机 UC-2100 系列 对于 Debian 8.x 版本的固件,请按照以下步骤将 SUDO 软件包升级到版本 1.8.10p3-1 + deb8u8。
对于 Debian 9.x 或 Moxa 工业 Linux (MIL) 版本的固件,请按照以下步骤将 SUDO 软件包升级到版本 1.8.19p1-2.1 + deb9u3e。
 
解决方案 1:从 Moxa Debian 软件库下载更新包
   
    步骤 1. 更新相应信息
root@Linux:~$ apt-get update
   
    步骤 2. 安装 SUDO 软件包
root@Linux:~$ apt-get install sudo
 
  • 注意: 系统中配置了 debian.moxa.com 软件库。如果您不能正常访问该软件库,请检查 Moxa Debian 软件库是否正常显示于源列表。  
          在 vi 编辑器中打开 moxa.source.list。
root@Linux:~$ vi /etc/apt/sources.list.d/moxa.sources.list
          如果源列表中没有 Moxa Debian 软件库,请向 moxa.source.list 增加以下内容:
          - 对于 Debian 8.x,
             deb http://debian.moxa.com/debian jessie main
          - 对于 Debian 9.x 或 MIL,
            deb http://debian.moxa.com/debian stretch main
 
解决方案 2:从 Moxa Debian 软件库下载文件,再(通过USB、SD、SCP等)将 deb 文件上传到设备以完成更新。
   
    步骤 1. 下载 Sudo 最新 deb 文件:
        对于 Debian 8.x amd64 系统: 在此处下载.
        对于 Debian 8.x armhf 系列: 在此处下载.
        对于 Debian 9.x 或 MIL armhf 系统: 在此处下载.
        对于 Debian 9.x 或 MIL amd64 系统: 在此处下载

    步骤 2. 通过 USB/SD 卡或 SCP 命令等将 deb 文件上传到设备。
   
    步骤 3. 使用 dpkg -i 命令安装 deb 文件。
root@Linux:~$ dpkg -i <deb file name>
         如:
root@Linux:~$ dpkg -i sudo_1.8.19p1-2.1+deb9u3_armhf.deb

对于 Debian 7.x 版本的固件,由于 Debian 社区提供的长期支持已于 2018 年 5 月 31 日结束,因此无法获取补丁。
对于 Debian 8.x 版本的固件, 由于 Debian 社区提供的长期支持已于 2020 年 6 月 30 日结束,因此无法获取补丁。
请确保未经授权的用户无法访问您的设备,从而降低风险。还建议升级到 Debian 9 (Stretch) 或 Debian 10 (buster)。
UC-2100-W 系列
UC-3100 系列
UC-5100 系列
UC-8100 系列
UC-8100A-ME-T 系列
UC-8100-ME-T 系列
UC-8100-ME-T 系列
UC-8200 系列
UC-8410A 系列
UC-8410A 系列
UC-8540 系列
UC-8580 系列
x86 计算机 MC-1100 系列
MC-1100 系列
MC-1200 系列
V2201 系列
V2403 系列
V2406A 系列
V2406C 系列
V2416A 系列
V2426A 系列
V2616A 系列
DA-681C 系列
DA-681A 系列
DA-682C 系列
DA-720 系列
DA-820C 系列
平板计算机和显示器 MPC-2070 系列
MPC-2101 系列
MPC-2120 系列
MPC-2121 系列
控制器和远程 I/O ioThinx 4530 系列

 

修订历史

 

版本 描述 发布日期
1.0 首次发布 2021 年 2 月 17 日

相关产品

DA-681A 系列 · DA-681C 系列 · DA-682C 系列 · DA-720 系列 · ioThinx 4530 系列 · MC-1100 系列 · MC-1200 系列 · MPC-2070 系列 · MPC-2101 系列 · MPC-2120 系列 · MPC-2121 系列 · UC-2100 系列 · UC-2100-W 系列 · UC-3100 系列 · UC-5100 系列 · UC-8100 系列 · UC-8100A-ME-T 系列 · UC-8200 系列 · UC-8410A 系列 · UC-8540 系列 · UC-8580 系列 · V2201 系列 · V2403 系列 · V2406C 系列 ·

  •   打印此页
  • 您可在 My Moxa 管理和分享已保存列表
漏洞修复

如果您担心 Moxa 产品可能存在安全漏洞,请与我们联系,我们将协助您进行查询。

报告漏洞
添加至收藏夹