networkd-dispatcher 有兩個安全漏洞。其中一個漏洞是因為沒有任何函式會對 networkd-dispatcher 的 OperationalState 或 AdministrativeState 進行清除,導致攻擊者可利用目錄遍歷逃離「/etc/networkd-dispatcher」主目錄。另一個漏洞為 time-of-check-time-of-use(TOCTOU)競爭條件。因為腳本被發現與執行之間存在一定的時間間隔,攻擊者可利用此漏洞,將 networkd-dispatcher 認為屬於 root 的所有腳本,替換成不屬於 root 的腳本。
Moxa 正進行調查,以了解我們的產品是否受此安全漏洞的影響。截至本文發布時,Moxa 產品並未受到影響。
Moxa 產品資安事件應變小組(PSIRT)將持續監控安全漏洞的狀況,如果發現影響 Moxa 產品的安全漏洞狀態,將立即提供更新資訊。