Kritikus hibákat javított a Western Digital

​A Western Digital egy nagyon fontos biztonsági frissítést adott ki a MyCloud termékcsaládjába tartozó hálózati adattárolóihoz.
 
hirdetés
James Bercegay, a GulfTech biztonsági kutatója számos veszélyes sebezhetőséget mutatott ki a MyCloud NAS eszközök kapcsán. Ezeket jelezte a gyártónak, amely mostanra készült el a hibajavításokkal. A szakember pedig úgy látta jónak, ha beszámol a felfedezéseiről, és ezáltal hívja fel a figyelmet az érintett NAS-ok frissítésének szükségességére.
 
A biztonsági kutató hátsó kaput keresett a Western Digital termékeiben. Nem is kellett sokáig kutakodnia, mivel egy beégetett felhasználói fiókot fedezett fel, amelyhez egy már ismert jelszó tartozott. Ez pedig nem volt más, mint a mydlinkBRionyg/abc12345cba felhasználónév/jelszó páros. Kimutatta, hogy ezáltal akár távolról is átvehetővé válhat az irányítás a készülékek felett, és azokon root jogosultsággal történő kódfuttatásra is sor kerülhet. A kockázatokat pedig nem kis mértékben fokozza, hogy ez a biztonsági rendellenesség akár automatizáltan is kihasználhatóvá válhat. A biztonsági rés érdekessége, hogy ugyanez a felhasználónév/jelszó páros korábban egyes D-Link eszközök esetében ugyanilyen problémákat vetett fel. A D-Link azonban már 2014-ben megszüntette ezt a gyenge pontot.
 
Bercegay egy másik sebezhetőségre is rávilágított, amelyet a webes felület kapcsán tárt fel. A hiba a gethostbyaddr() PHP függvény nem megfelelő használatára vezethető vissza, és egy erre a célra kialakított exploit révén tetszőleges fájlok feltöltését teszi lehetővé az adattárolókra mindenféle előzetes hitelesítés nélkül. A webes felület kapcsán további problémára is fény derült, amelyek CSRF típusú támadásokat, illetve szolgáltatásmegtagadást tehetnek lehetővé. 
Vélemények
 
  1. 4

    A MySQL fejlesztői számos biztonsági hibáról számoltak be.

  2. 4

    Az Oracle E-Business Suite fontos biztonsági frissítésekhez jutott.

  3. 3

    Az Oracle a VirtualBoxhoz is kiadta a negyedéves biztonsági frissítéseit.

 
Partnerhírek
GDPR antológia közösségi szerkesztésben

A Hétpecsét Egyesület a Hétpecsétes történetek és a Hétpecsétes történetek II után nekilátott a Hétpecsétes történetek 2,5 -nek.

Politikai szervezeteket támad egy új vírus

A Turla csoport kelet-európai diplomatákat támad hamis Adobe Flash telepítőket alkalmazva.

hirdetés
Közösség
1