Kritikus hibákat javított a Western Digital
A Western Digital egy nagyon fontos biztonsági frissítést adott ki a MyCloud termékcsaládjába tartozó hálózati adattárolóihoz.James Bercegay, a GulfTech biztonsági kutatója számos veszélyes sebezhetőséget mutatott ki a MyCloud NAS eszközök kapcsán. Ezeket jelezte a gyártónak, amely mostanra készült el a hibajavításokkal. A szakember pedig úgy látta jónak, ha beszámol a felfedezéseiről, és ezáltal hívja fel a figyelmet az érintett NAS-ok frissítésének szükségességére.
A biztonsági kutató hátsó kaput keresett a Western Digital termékeiben. Nem is kellett sokáig kutakodnia, mivel egy beégetett felhasználói fiókot fedezett fel, amelyhez egy már ismert jelszó tartozott. Ez pedig nem volt más, mint a mydlinkBRionyg/abc12345cba felhasználónév/jelszó páros. Kimutatta, hogy ezáltal akár távolról is átvehetővé válhat az irányítás a készülékek felett, és azokon root jogosultsággal történő kódfuttatásra is sor kerülhet. A kockázatokat pedig nem kis mértékben fokozza, hogy ez a biztonsági rendellenesség akár automatizáltan is kihasználhatóvá válhat. A biztonsági rés érdekessége, hogy ugyanez a felhasználónév/jelszó páros korábban egyes D-Link eszközök esetében ugyanilyen problémákat vetett fel. A D-Link azonban már 2014-ben megszüntette ezt a gyenge pontot.
Bercegay egy másik sebezhetőségre is rávilágított, amelyet a webes felület kapcsán tárt fel. A hiba a gethostbyaddr() PHP függvény nem megfelelő használatára vezethető vissza, és egy erre a célra kialakított exploit révén tetszőleges fájlok feltöltését teszi lehetővé az adattárolókra mindenféle előzetes hitelesítés nélkül. A webes felület kapcsán további problémára is fény derült, amelyek CSRF típusú támadásokat, illetve szolgáltatásmegtagadást tehetnek lehetővé.
-
A GLPI fejlesztői két veszélyes biztonsági résről számoltak be.
-
Öt biztonsági rést foltoztak be a GitLab fejlesztői.
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.