Biztonsági rést foltozott a Seagate
A Seagate csendben, mindenféle hírverés nélkül foltozott be egy biztonsági rést a hálózati adattároló eszközein.Yorick Koster biztonsági kutató úgy határozott, hogy kicsit közelebbről is szemügyre veszi az otthoni, Seagate Personal Cloud Home Media Storage adattároló eszközét. A kíváncsisága kifizetődött, ugyanis a NAS kapcsán egy meglehetősen veszélyes sebezhetőséget fedezett fel, amely jogosulatlan műveletvégrehajtásra ad lehetőséget. A sebezhetőséget az eszközön futó Media Server alkalmazás tartalmazza.
Koster szerint a Media Serverhez tartozó fájlok közül kettő (getLogs, uploadTelemetry) problémás, mivel azok parancsbefecskendezésre épülő támadásokra adhatnak lehetőséget. A szakember egy olyan exploitot készített, amelynek révén képes volt mindenféle előzetes hitelesítés nélkül SSH-kapcsolatot kiépíteni, majd a root jelszót is meg tudta változtatni.
A sérülékenység kockázatát csökkenti, hogy a szakember szerint az kizárólag helyi hálózatokból használható ki. Vagyis egy támadónak első körben valamilyen módon rá kell vennie a felhasználót arra, hogy kattintson egy speciálisan összeállított linkre. Persze erre megannyi trükk létezik, tehát a sebezhetőség veszélyét nem érdemes lebecsülni.
Koster a feltárt rendellenesség technikai részleteit október 16-án küldte meg a Seagate szakembereinek. Aztán csak várt és várt, hogy a gyártó mikor tesz lépéseket a hiba felszámolása érdekében. Majd úgy határozott, hogy lefrissíti az otthoni, sebezhető adattárolóját, és ekkor vette észre, hogy a 4.3.18.0-ás firmware telepítésével szépen csendben eltűnt a biztonsági rés. A gyártótól pedig azóta sem kapott semmiféle visszajelzést.
Mindenesetre a Seagate Personal Cloud Home Media Storage tulajdonosoknak érdemes mihamarabb frissíteniük az érintett eszközöket.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
-
A ClamAV kapcsán egy közepes veszélyeségű sebezhetőségre derült fény.
-
Az IBM két sebezhetőségről számolt be a WebSphere Application Server kapcsán.
-
Az Oracle 71 hibajavítást adott ki az Oracle Linux operációs rendszerhez.
-
Több mint egy tucat biztonsági javítással bővült a Google Chrome.
-
Letölthető a VirtualBox legújabb kiadása benne 13 biztonsági javítással.
-
Az Oracle nyolc olyan biztonsági résről számolt be, amelyeket a Database Server kapcsán kellett orvosolnia.
-
A MySQL három tucat biztonsági frissítéssel gyarapodott.
-
Az Java több mint egy tucat biztonsági frissítést kapott.
-
A Microsoft három biztonsági rést foltozott be az Edge webböngészőn.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.