自 2022 年 6 月 15 日起,本網站不再支援 Internet Explorer。 請使用其他瀏覽器瀏覽我們的網站,以獲得最佳的瀏覽體驗。
登入
首頁 支援 安全公告 Moxa 對 Sudo Heap-based 緩衝區溢位安全漏洞(CVE-2021-3156)的回應

產品支援

安全公告

請登入

忘記密碼?
登入
記住我的資料。
還不是會員? 立即註冊
摘要

Moxa 對 Sudo Heap-based 緩衝區溢位安全漏洞(CVE-2021-3156)的回應

Sudo 是許多 Linux 作業系統中的實用工具,讓使用者能以其他使用者的安全權限執行程式。在 Sudo 版本 1.8.2 至 1.8.31p2、1.9.0 至 1.9.5p1 中發現了堆疊的緩衝區溢位漏洞。攻擊者可利用此安全漏洞來控制受影響的系統。

Moxa 網路安全回應小組(CSRT)正全力以赴,並採取適當的行動。如果安全漏洞狀態有任何更新,或是對 Moxa 產品造成的影響,我們將立即提供更新資訊。

受影響的產品和解決方案

受影響的產品:

下列為受影響的產品和韌體版本。

產品類別 產品系列 受影響的版本
以 ARM 為基礎的電腦 UC-2100 系列 Moxa Industrial Linux v1.0
UC-2100-W 系列 Moxa Industrial Linux v1.0
UC-3100 系列 Moxa Industrial Linux v1.0
UC-5100 系列 Moxa Industrial Linux v1.0
UC-8100 系列 Moxa Industrial Linux v1.0
UC-8100A-ME-T 系列 Moxa Industrial Linux v1.0
UC-8100-ME-T 系列 Debian 8.x
UC-8100-ME-T 系列 Moxa Industrial Linux v1.0
UC-8200 系列 Moxa Industrial Linux v1.0
UC-8410A 系列 Debian 8.x
UC-8410A 系列 Moxa Industrial Linux v1.0
UC-8540 系列 Debian 8.x
UC-8580 系列 Moxa Industrial Linux v1.0
x86 電腦 MC-1100 系列 Debian 8.x
MC-1100 系列 Debian 9.x
MC-1200 系列 Debian 9.x
V2201 系列 Debian 9.x
V2403 系列 Debian 9.x
V2406A 系列 Debian 8.x
V2406C 系列 Debian 7.x
V2416A 系列 Debian 9.x
V2426A 系列 Debian 7.x
V2616A 系列 Debian 7.x
DA-681C 系列 Debian 7.x
DA-681A 系列 Debian 9.x
DA-682C 系列 Debian 8.x
DA-720 系列 Debian 9.x
DA-820C 系列 Debian 8.x
平板電腦與顯示器 MPC-2070 系列 Debian 9.x
MPC-2101 系列 Debian 9.x
MPC-2120 系列 Debian 9.x
MPC-2121 系列 Debian 9.x
控制器和 I/O ioThinx 4530 系列 韌體版本 1.3 或更早的版本

 

解決方案:

Moxa 已開發了適當的解決方案來修補安全漏洞。下列為受影響產品的解決方案。

產品類別 產品系列 解決方案
以 ARM 為基礎的電腦 UC-2100 系列 對於 Debian 8.x 版本的韌體,請按照以下步驟將 SUDO 套件升級到版本 1.8.10p3-1+deb8u8。
對於 Debian 9.x 或 Moxa Industrial Linux(MIL)版本的韌體,請按照以下步驟將 SUDO 套件升級到版本 1.8.19p1-2.1+deb9u3。
 
解決方案 1:從 Moxa Debian 軟體庫升級套件
   
    步驟一:更新 apt 資訊
root@Linux:~$ apt-get update
   
    步驟二:安裝 SUDO 套件
root@Linux:~$ apt-get install sudo
 
  • 注:debian.moxa.com 已配置在系統內。如果您無法正常存取儲存庫,請檢查 Moxa Debian 儲存庫是否列在 apt 原始碼清單中。
          在 vi 編輯器中開啟 moxa.source.list。
root@Linux:~$ vi /etc/apt/sources.list.d/moxa.sources.list
          如果不存在,請將下面一行加入 moxa.source.list
          - 對於 Debian 8.x,
             deb http://debian.moxa.com/debian jessie main
          - 對於 Debian 9.x 或 MIL,
            deb http://debian.moxa.com/debian stretch main
 
解決方案 2:從 Moxa Debian 儲存庫下載檔案,然後將 deb 檔案上傳到設備(透過 USB、SD、SCP 等)以執行更新。
   
    步驟一:下載 Sudo 最新的 deb 檔:
        對於 Debian 8.x amd64 系統:點此下載
        對於 Debian 8.x armhf 系統:點此下載
        對於 Debian 9.x 或 MIL armhf 系統:點此下載
        對於 Debian 9.x 或 MIL amd64 系統:點此下載

    步驟二:透過 USB/SD 卡或 SCP 指令等將 deb 檔上傳到設備。
   
    步驟三:使用 dpkg -i 命令安裝 deb 檔。
root@Linux:~$ dpkg -i <deb file name>
          例如
root@Linux:~$ dpkg -i sudo_1.8.19p1-2.1+deb9u3_armhf.deb

對於 Debian 7.x 版本的韌體,由於 Debian 社群的 LTS(長期支援)已於 2018 年 5 月 31 日結束,因此沒有可用的修補程式。
對於 Debian 8.x 版本的韌體,由於 Debian 社群的 LTS 已於 2020 年 6 月 30 日結束,因此未來將不再提供修補程式。
請確保未經授權的使用者無法存取您的設備,以降低風險。建議升級至 Debian 9(Strench)或 Debian 10(buster)。
UC-2100-W 系列
UC-3100 系列
UC-5100 系列
UC-8100 系列
UC-8100A-ME-T 系列
UC-8100-ME-T 系列
UC-8100-ME-T 系列
UC-8200 系列
UC-8410A 系列
UC-8410A 系列
UC-8540 系列
UC-8580 系列
x86 電腦 MC-1100 系列
MC-1100 系列
MC-1200 系列
V2201 系列
V2403 系列
V2406A 系列
V2406C 系列
V2416A 系列
V2426A 系列
V2616A 系列
DA-681C 系列
DA-681A 系列
DA-682C 系列
DA-720 系列
DA-820C 系列
平板電腦與顯示器 MPC-2070 系列
MPC-2101 系列
MPC-2120 系列
MPC-2121 系列
控制器和 I/O ioThinx 4530 系列

 

修訂紀錄:

 

版本 說明 發布日期
1.0 第一版 2021 年 2 月 17 日

相關產品

DA-681A 系列 · DA-681C 系列 · DA-682C 系列 · DA-720 系列 · DA-820C 系列 · ioThinx 4530 系列 · MC-1100 系列 · MC-1200 系列 · MPC-2070 系列 · MPC-2101 系列 · MPC-2120 系列 · MPC-2121 系列 · UC-2100 系列 · UC-2100-W 系列 · UC-3100 系列 · UC-5100 系列 · UC-8100 系列 · UC-8100A-ME-T 系列 · UC-8100-ME-T 系列 · UC-8200 系列 · UC-8410A 系列 · UC-8540 系列 · UC-8580 系列 · V2201 系列 · V2403 系列 · V2406A 系列 · V2406C 系列 · V2416A 系列 · V2426A 系列 · V2616A 系列 ·

相關公告
提報安全問題

如果擔心 Moxa 產品有潛在的安全漏洞,請立即通知我們,我們將盡快協助您釐清問題。

回報安全漏洞

請勿分享我的個人資訊

若不希望分享您的個人資訊以進行跨情境行為廣告,您可以填寫並送出下方的表格。


請注意,即使您選擇填寫表格,您仍有可能會在其他網站上看到我們的廣告。只是這些廣告將有可能不會與您的興趣有關。

 
 
已加入詢價列表

查看詢價明細

您目前瀏覽的是台灣 / 繁體中文網站。
需要前往適用您所在地的網站?