Western Digital, saldırganların yama uygulanmamış My Cloud OS 5 cihazlarında root ayrıcalıklarıyla uzaktan kod yürütme elde etmelerini sağlayan kritik samba zafiyeti için güncelleme yayınladı.
Güvenlik açığı bulunan Samba modülü kaldırılarak hata giderildi
Zafiyete varsayılan yapılandırmalar neden olurken saldırganların bir dosyanın extended attributes’lara yazma erişimine ihtiyacı vardır (Samba Ekibine göre, dosyanın extended attributes’lara yazma erişimine izin veriliyorsa, guest veya kimliği doğrulanmamış kullanıcılarda bu zafiyeti sömürebilir. )
CVE-2021-44142 saldırılarına karşı savunmasız cihazların listesi aşağıdaki gibidir:
- My Cloud PR2100
- My Cloud PR4100
- My Cloud EX4100
- My Cloud EX2 Ultra
- My Cloud Mirror Gen 2
- My Cloud DL2100
- My Cloud DL4100
- My Cloud EX2100
- My Cloud
- WD Cloud
Netatalk kritik kusuru da bu hafta yamalanmıştı
Western Digital bu hafta, ağ paylaşımlarına erişmek ve Time Machine yedeklemelerini gerçekleştirmek için kullanılan açık kaynaklı Netatalk Apple Dosya Protokolü dosya sunucusundaki kritik güvenlik açığını daha düzeltmişti. Zafiyet, Netatalk hizmetinin kullanımdan kaldırılması ve 5.19.117 firmware yazılımı güncellemesiyle giderdi. Firmware yükledikten sonra Netatalk hizmeti artık kullanılamayacaktır. Ancak, My Cloud kullanıcıları SMB aracılığıyla ağ paylaşımlarına erişmek için yapılandırmaya devam edebilir.
Kaynak: bleepingcomputer.com