SoftNAS क्लाउड OS संस्करण 4.0.3 से नीचे सुदूर कोड निष्पादन के लिए कमजोर

SoftNAS क्लाउड OS संस्करण 4.0.3 से नीचे दूरस्थ कोड निष्पादन के लिए कमजोर

सुरक्षा / SoftNAS क्लाउड OS संस्करण 4.0.3 से नीचे दूरस्थ कोड निष्पादन के लिए कमजोर 1 मिनट पढ़ा

एक कोड के रूप में उल्लिखित SoftNAS शामिल के क्लाउड डेटा प्रबंधन प्लेटफ़ॉर्म में दूरस्थ कोड निष्पादन भेद्यता का एक विशेषाधिकार प्राप्त किया गया था सुरक्षा बुलेटिन कंपनी द्वारा ही प्रकाशित किया गया था। वेब प्रशासन कंसोल में भेद्यता पाई जाती है जो दुर्भावनापूर्ण हैकर्स को प्राधिकरण की आवश्यकता को दरकिनार करते हुए रूट अनुमतियों के साथ मनमाने कोड को निष्पादित करने की अनुमति देता है। समस्या विशेष रूप से इस तरह के कार्यों के सत्यापन और निष्पादन के लिए जिम्मेदार प्लेटफ़ॉर्म के भीतर एंडपॉइंट स्नसर्व स्क्रिप्ट में प्रस्तुत होती है। भेद्यता को लेबल आवंटित किया गया है CVE-2,018-14,417 ।

CoreSecurity SDI Corporation का सॉफ्टनैस क्लाउड एक एंटरप्राइज-गियर नेटवर्क-उत्तेजित डेटा स्टोरेज सिस्टम है, जो अमेज़ॅन वेब सर्विसेज और Microsoft Azure जैसे कुछ सबसे बड़े विक्रेताओं को क्लाउड सपोर्ट प्रदान करता है, जबकि Netflix Inc., Samsung Electronics Co जैसे ग्राहकों का एक प्रभावशाली पोर्टफोलियो बनाए रखता है। ।, टोयोटा मोटर कं, कोका-कोला कं, और बोइंग कं। भंडारण सेवा NFS, CIFS / SMB, iSCSI और AFP फ़ाइल प्रोटोकॉल का समर्थन करती है और सबसे गहन और नियंत्रित उद्यम भंडारण और डेटा सेवा के लिए बनाती है। इस तरीके से समाधान। यह भेद्यता, हालांकि, दूरस्थ सर्वर को लक्षित सर्वर में दुर्भावनापूर्ण आदेशों को निष्पादित करने की अनुमति देने के लिए उपयोगकर्ता अनुमतियों को बढ़ाती है। चूंकि एंडपॉइंट में कोई प्रमाणीकरण तंत्र स्थापित नहीं है और ऑपरेशन करने से पहले स्नसर्व स्क्रिप्ट इनपुट को सैनिटाइज़ नहीं करती है, हैकर बिना किसी सत्र सत्यापन की आवश्यकता के माध्यम से पालन करने में सक्षम है। चूंकि वेबसर्वर एक सूडो उपयोगकर्ता पर कार्य करता है, इसलिए हैकर किसी भी दुर्भावनापूर्ण कोड को निष्पादित करने के लिए रूट अनुमतियां और पूर्ण पहुंच प्राप्त कर सकता है। यह भेद्यता स्थानीय और दूरस्थ रूप से शोषक दोनों है और शोषण के एक महत्वपूर्ण जोखिम में वर्गीकृत है।

इस भेद्यता को मई में CoreSecurity SDI Corporation के ध्यान में लाया गया था और तब से इसे सुरक्षा फर्म की वेबसाइट पर प्रकाशित एक सलाहकार में संबोधित किया गया है। सॉफ्टनैस के लिए एक अपडेट भी जारी किया गया है। उपयोगकर्ताओं को अपने सिस्टम को इस नवीनतम संस्करण में अपग्रेड करने के लिए अनुरोध किया जाता है: 4.0.3 एक अनधिकृत दुर्भावनापूर्ण कोड इंजेक्शन हमले के परिणामों को कम करने के लिए।