按 ESC 键关闭

sudo 高危漏洞 CVE-2023-22809,影响版本1.8.0至1.9.12p1

漏洞说明

由于 sudo 中的 sudoedit (又名 -e)在处理用户提供的环境变量(如 Sudo_EDITOR、VISUAL 和 EDITOR )中传递的额外参数存在缺陷。当用户指定的编辑器包含绕过 sudoers 策略的“–”参数时,拥有 sudoedit 访问权限的本地攻击者可通过将任意条目附加到要处理的文件列表中,最终在目标系统上实现权限提升。除外,该漏洞还影响部分QNAP 操作系统:QTS、QuTS hero、QuTScloud、QVP(QVR Pro 设备)

受影响范围:

1.8.0 <= sudo <= 1.9.12p1

QTS 与 QuTS hero:

QTS < 5.0.1.2346 build 20230322

QuTS < hero h5.0.1.2348 build 20230324

不受影响范围:

sudo >= 1.9.12.p2 || 1.8.0 < sudo

QTS 与 QuTS hero:

QTS >= 5.0.1.2346 build 20230322

QuTS >= hero h5.0.1.2348 build 20230324

相关文章