networkd-dispatcher 中有两个漏洞。出现第一个漏洞的原因是任何函数都不能清理 networkd-dispatcher 中的 OperationalState 和 AdministrativeState。这种攻击会导致目录遍历模式从“/etc/networkd-dispatcher”基本目录中逃脱。另一个漏洞名为 time-of-check-time-of-use (TOCTOU) 竞赛条件,因为查找脚本和运行脚本之间存在一定时间差,攻击者可以利用这个漏洞将 networkd-dispatcher 认为属于 root 的脚本替换为不属于 root 的脚本。
Moxa 正在检查所有产品,确定是否受此安全漏洞影响。截至本公告发布前,没有任何 Moxa 产品受到影响。
Moxa 产品安全事件响应小组 (PSIRT) 将持续监控进展情况,如发现任何 Moxa 产品受到此安全漏洞影响,我们将立即发布更新。