Seagate
Seagate Media Server е UPnp / DLNA Network Attached Storage механизъм, вграден в Seagate Personal Cloud за индивидуално използване. В съвет към уебсайта за търсене на грешки в сигурността на IoT Summer of Pwnage бяха открити и обсъдени няколко уязвимости на SQL инжектиране в Seagate Media Server, рискуващи извличането и модифицирането на лични данни, съхранявани в базата данни, използвана от медийния сървър.
Seagate Personal Cloud е съхранение в облак, което се използва за съхраняване на снимки, видеоклипове и други видове мултимедия в своя медиен сървър. Тъй като личните данни се качват в този облак, те са защитени с проверки за упълномощаване и защита на паролата, но в неговото оформление съществува публична папка, на която неоторизирани потребители имат право да качват данни и файлове.
Според консултативен , това средство за публична папка може да бъде злоупотребявано от злонамерени нападатели, когато качват обезпокоителни файлове и медии в папката в облака. След това файловете на тези неоторизирани нападатели могат да се държат по начина, по който са проектирани, позволявайки произволно извличане и модифициране на данни в базата данни на медийния сървър. За щастие фактът, че Seagate Media Server използва отделна база данни SQLite3, ограничава злонамерената дейност на такива нападатели и степента, до която те могат да използват тази уязвимост.
ДА СЕ доказване на концепцията е на разположение заедно с препоръката, която показва, че уеб рамката на Django, използвана в медийния сървър, се занимава с разширения .psp. Всички качвания, които съдържат това разширение, се пренасочват незабавно към частта на облака на Seagate Media Server чрез протокола FastCGI. Манипулирането на разширенията и инжектирането на злонамерени файлове в медийния сървър чрез публичната папка по този начин може да позволи на атакуващите да стартират код за извличане на данни от сървъра или да модифицират подробно това, което вече е там.
Установено е, че тези уязвимости на SQL инжектиране засягат версии на фърмуера 4.3.16.0 и 4.3.18.0 на Seagate Personal Cloud SRN21C. Въпреки че това бяха единствените тествани, доставчикът очаква, че могат да бъдат засегнати и други версии. За да се смекчат рисковете, нова версия на фърмуера 4.3.19.3 е издаден за Seagate Personal Cloud, който затваря публичните папки и механизми за пренасочване на разширения, които позволяват този вид уязвимост.
![[ОПРАВЕНО] ‘Нещо се обърка. Опитайте се да отворите отново настройките по-късно в Windows 10 Update](https://jf-balio.pt/img/how-tos/32/something-went-wrong.png)
