西部数据更新固件版本,修复4个漏洞

最新推荐文章于 2024-03-22 22:24:32 发布
最新推荐文章于 2024-03-22 22:24:32 发布
阅读量1.1k 收藏
点赞数 1
文章标签: 网络 安全 web安全
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247516754&idx=1&sn=a1e32820ac8d5bb8432eeb77bbd839e2&chksm=ea94b338dde33a2ee7103027b591018e1800ea1c4ff5971fcc4ff2b04d330fa5994acbc7174e&scene=126&sessionid=0
版权

76ffb76c30e527ef516b97757e90a2fb.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

2b0ad43ed3b551fab72dcf4444ca90ad.gif

西部数据提醒 My Cloud 系列设备的所有人表示,需要将设备更新至最新固件版本 5.26.202,否则从2023年6月15日开始将无法连接到云服务。

西部数据希望借这种激进措施保护用户免受网络攻击,因为最新的固件版本修复了一个远程可利用漏洞,该漏洞可用于执行未认证代码执行操作。

西部数据在支持公告中提到,“从2023年6月15日开始,使用5.26.202版本以下固件的设备将无法连接到西部数据云服务,用户将无法通过 mycloud.com 和 My Cloud OS 5移动应用访问设备数据,除非他们将设备更新至最新固件版本。用户仍可通过本地权限访问数据。”

My Cloud 服务将 NAS 设备连接到西部数据的云服务,供用户存储、访问、备份并共享 web 中的媒体。话虽如此,但对设备或用户媒体仓库的越权访问可导致严重的数据和隐私泄露问题。另外,任意代码执行甚至可导致在设备上部署勒索软件,而近期多次表明这种行为将影响 NAS 设备。

西部数据提醒所有人表示,如下设备需将固件更新至指定版本,否则将无法访问 My Cloud:

  • My Cloud PR2100 – 5.26.202或后续版本

  • My Cloud PR4100 – 5.26.202 或后续版本

  • My Cloud EX4100 – 5.26.202 或后续版本

  • My Cloud EX2 Ultra – 5.26.202 或后续版本

  • My Cloud Mirror G2 – 5.26.202 或后续版本

  • My Cloud DL2100 – 5.26.202 或后续版本

  • My Cloud DL4100 – 5.26.202 或后续版本

  • My Cloud EX2100 – 5.26.202 或后续版本

  • My Cloud – 5.26.202 或后续版本

  • WD Cloud – 5.26.202 或后续版本

  • My Cloud Home – 9.4.1-101 或后续版本

  • My Cloud Home Duo – 9.4.1-101 或后续版本

  • SanDisk ibi – 9.4.1-101 或后续版本

如上固件版本在2023年5月15日发布,修复了如下四个漏洞:

  • CVE-2022-36327:严重的路径遍历漏洞(CVSS v3.1:9.8),可导致攻击者将文件写入任意文件系统位置,导致 My Cloud 设备上的未认证(认证绕过)远程代码执行后果。

  • CVE-2022-36326:通过将特殊构造请求发送到易受攻击设备而触发的不受控的资源耗尽问题,可导致 DoS 攻击(中危)。

  • CVE-2022-36328:路径遍历漏洞,可导致认证攻击者在任意目录创建任意共享并提取敏感数据、密码、用户和设备配置(中危)。

  • CVE-2022-29840:服务器端请求伪造 (SSRF) 漏洞,可导致局域网上的恶意服务器修改 URL,指回至回环(中危)。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

西部数据关键服务被迫中断

Pwn2Own大赛回顾:利用开源服务中的严重漏洞,攻陷西部数据My Cloud PR4100

西部数据app可导致Windows 和 macOS 提权

老旧漏洞不修复,西部数据存储设备数据遭擦除

一年半之后,西部数据 My Cloud NAS 设备验证绕过漏洞仍未修复

原文链接

https://www.bleepingcomputer.com/news/security/western-digital-boots-outdated-nas-devices-off-of-my-cloud/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

385645b8446a61c66a755e16caa6bc41.jpeg

86815de743f3da6fce0e8c019cbe9f13.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   9a08ae83ef0ead7009d8602cd3ebd168.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
西数硬盘固件刷新工具_西数My Passport随行SSD版体验
weixin_39676930的博客
12-04 1534
【小熊在线网】重量轻、速度快,移动固态硬盘愈发受到人们的喜爱。随着井喷式的复工,笔者每日工作和拍摄积攒下了大量的素材, 西数WD My Passport随行SSD版就是此次入手的高效率的生产力工具,希望它能带来更快更好的传输体验。西数WD My Passport随行SSD版移动固态硬盘的包装盒很亮眼吸睛,橘白配色又显得时尚有活力。除了正面的1TB存储容量标识,包装盒上还标明了固态硬盘拥有抗震、密码...
西数硬盘通用固件升级程序
08-07
西数硬盘通用固件升级程序,西部数据硬盘都可用的固件升级程序
WesternDigital西部数据UniversalFirmwareUpdater移动硬盘固件升级工具v3.2.0.10d版
07-25
Western Digital西部数据Universal Firmware Updater移动硬盘固件升级工具3.2.0.10d版For MAC(2013年6月15日发布) WD西部数据固件更新程序实用工具可更新My Book或My Passport硬盘上的固件,该程序将引导您完成固件更新。 运行该程序之前,请确保: 1、备份设备中的数据; 2、设备必须连接到USB口来更新固件,计算机上必须有可用
西数硬盘固件包大全+WD硬盘工具+教程 西数通刷 做SF 很好的维修软件
11-30
非常好用的维修软件+固件包大全,适合西数WD硬盘,里面有教程,做通刷 SF 等等
西数硬盘刷固件工具
08-27
西数硬盘刷固件,改SN,屏蔽坏道等用处,慎用哦!
西数硬盘固件刷新工具_双倍速度双倍快乐:每秒读写2GB的移动固态硬盘
weixin_39848998的博客
11-27 1335
USB3.1给我们带来1GB/s顺序读写速度,USB3.2(Gen2x2)则能把这一速度翻倍至2GB/s。西数P50是当前少有的USB3.2移动固态硬盘,这款产品在去年8月宣布后一直受制于有限的硬件可用性。目前最新的英特尔Tiger Lake平台和AMD B550主板都没有提供原生USB3.2 Gen 2x2支持,需要添加额外的祥硕ASM3242控制器才能提供20Gbps的极速体验。相应的,USB...
西部数据硬盘专用诊断与修复工具
06-05
西部数据硬盘专用诊断与修复工具是一款专为西部数据WD)硬盘设计的实用软件,旨在帮助用户检测硬盘的健康状况,查找并修复可能存在的问题。这个工具包含了多种功能,能够全面地检查硬盘的硬件和软件层面,确保数据...
Intel ME 固件修复SA00086漏洞
11-26
3、压缩包里包含三个文件,前面的数字代表固件版本号,比如:118代表11.8版本,后面的LP或者H代表你的CPU类型。刷的时候文件后面的字母一定要和FW Version字段后的字母一致,LP就刷LP的,H就刷H的。 4、刷新固件的...
JLINK V10固件修复
05-10
固件修复过程中,用户可能需要使用这个工具来更新JLINK的固件修复JLINK固件的过程一般包括以下步骤: 1. **备份现有固件**:在尝试任何更改之前,都应该先备份当前固件,以防万一。 2. **下载适配的固件**:...
Jlink V10 最新固件修复
05-09
《Jlink V10最新固件修复:解决IAR 9204+版本与Jlink兼容性问题》 在嵌入式开发领域,Jlink是广泛应用的调试工具,尤其在ARM架构的微控制器上,它以其高效稳定的表现赢得了开发者们的青睐。然而,随着软件的迭代...
my cloud home离线安装文件,pc端
10-30
现在my cloud home 的安装文件需要联网到M国才可以安装,但是比较麻烦,于是我找到一个离线版的安装文件,已经测试可以使用,希望可以帮助到大家
奇安信安全扫描漏洞解决路径遍历和存储型xss和反射xss攻击漏洞
11-09
亲测可用,中级漏洞,解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
WD硬盘 771640003 通吃固件
06-01
WD硬盘 771640 通吃固件 WD蓝盘,160G 250G 320G 500G 常见的板号:701590 771590 701640-002 771640-003,只要会修这几款,几乎95%都涵盖了!个别其他型号的,不会修几乎也无所谓了!丢了也不可惜,其中1640又细分为LT PL XL,不管哪种,经过这几年的维修,我总结了几套好用的固件,只要刷上,傻瓜式的跑就能出盘,不出的一般缺陷超了,降下容量,砍下头,就肯定OK!只要不敲盘,都能维修,敲盘的就不要折腾了,还有盘拿着明显有震动的,这种盘就算修好也用不久,就不要折腾了!
大众德赛280,280d升级0394固件最新版本修复优化若干bug提升稳定性,正版官方固件
03-08
修复优化若干bug提升稳定性,正版官方固件,适配 【宝来 朗逸 速腾 高尔夫】等280主机系列 280 280E 280d最新优化的固件版本是: 0394 1、解决CarPlay百度图反应画面延迟反应速度慢问题 2、解决CarPlay德图导航时...
西数硬盘刷新固件_彻底解决硬盘测试曲线的困惑
weixin_39720510的博客
12-12 1217
文 ◆ 梭鱼今天是五一国际劳动节,本公众号在此祝大家节日愉快,百毒不侵!原计划今天休息不发文,但一直有件事情让我非常困惑。我所在的QQ群里,相当多的话题就是讨论硬盘曲线的问题。就这个问题我也做过简单的阐述,现在看来完全不够。很多人不能理解为什么硬盘测试会出现曲线,哪种曲线状态是合理的,哪种不合理,对此有清醒认识的朋友并不多。很多言论的风向感觉已经被带偏,甚至有点矫枉过正。为此,特地加写一...
西数硬盘刷新固件_机械硬盘选购:SMR避坑指南
weixin_39945475的博客
11-08 1004
本文首发于什么值得买平台请关注本账号获取更多好文,作者:ACFUN_AK创作立场声明:……能救一个是一个双十一要到了,不少同志们可能会想要趁这时候上车买个机械盘作为仓库盘玩玩,这个时候咱可能会买到SMR硬盘,为了防止各位踩雷翻车,于是咱决定扫雷,为各位更一个SMR避雷指南其实写作的动机并不是这样,而是这样视频: AC11622322合作出品在和UP友♂好的交流了一下之后,咱成功的说服了UP在A站也...
OCP NVME SSD规范解读-14.Firmware固件升级要求
最新发布
存储随笔
03-22 1259
设备当前状态保持不变:在固件激活过程中,不论设备目前处于何种状态,如Opal锁定状态(一种加密锁定机制),每个特性(Features)的当前值,时间戳,I/O提交/完成队列设置等核心运行状态都应该得到保留,不受固件升级过程的影响。已配置的各项特性参数应保持不变;综上所述,4.11节着重规定了固件更新的各个环节,从固件下载、激活、错误处理、安全性保障,到与其它功能如延迟监控的协同配合,以及与主机通信的事件通知机制等方面,均制定了详细而严谨的要求,确保数据中心NVMe SSD固件更新过程的安全、高效和可控。
MyCloud 升级最新固件
liucky的专栏
11-29 1388
Mycloud 版本太低无法支持远程访问,需要升级固件到OS5
奇安信-源代码安全缺陷问题解决记录-路径遍历、API误用、配置文件明文
xnxqwzy的博客
03-11 2152
除了明文处理,其他几种缺陷感觉非常多此一举,仅仅就是为了不被扫描到缺陷,所以上面很多改动的意义也仅仅是为了通过扫描。奇安信漏洞说明第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值