Seagate व्यक्तिगत क्लाउड मीडिया सर्वर में SQL इंजेक्शन कमजोरियाँ निजी डेटा की पुनर्प्राप्ति की अनुमति देती हैं

समाचार
सुरक्षा / Seagate व्यक्तिगत क्लाउड मीडिया सर्वर में SQL इंजेक्शन कमजोरियाँ निजी डेटा की पुनर्प्राप्ति की अनुमति देती हैं 1 मिनट पढ़ा

सीगेट



सीगेट मीडिया सर्वर एक यूपीएनपी / डीएलएनए नेटवर्क अटैच्ड स्टोरेज मैकेनिज्म है जो व्यक्तिगत स्तर के उपयोग के लिए सीगेट पर्सनल क्लाउड में शामिल है। IoT सुरक्षा बग हंट वेबसाइट समर ऑफ पवानेज की एक एडवाइजरी में, सीगेट मीडिया सर्वर में कई SQL इंजेक्शन भेद्यता की खोज की गई और चर्चा की गई, मीडिया सर्वर द्वारा उपयोग किए गए डेटाबेस में संग्रहीत व्यक्तिगत डेटा की पुनर्प्राप्ति और संशोधन को जोखिम में डालते हुए।

सीगेट पर्सनल क्लाउड एक क्लाउड स्टोरेज सुविधा है जिसका उपयोग अपने मीडिया सर्वर में फोटो, वीडियो और अन्य प्रकार के मल्टीमीडिया स्टोर करने के लिए किया जाता है। जैसा कि व्यक्तिगत डेटा इस क्लाउड में अपलोड किया गया है, यह प्राधिकरण जांच और पासवर्ड सुरक्षा के साथ सुरक्षित है, लेकिन इसके लेआउट के भीतर, एक सार्वजनिक फ़ोल्डर मौजूद है, जिसमें अनधिकृत उपयोगकर्ताओं को डेटा और फ़ाइलों को अपलोड करने का अधिकार है।



के मुताबिक सलाहकार यह सार्वजनिक फ़ोल्डर सुविधा दुर्भावनापूर्ण हमलावरों द्वारा दुर्व्यवहार की जा सकती है जब वे क्लाउड में फ़ोल्डर में परेशान करने वाली फ़ाइलों और मीडिया को अपलोड करते हैं। ये अनधिकृत हमलावरों की फाइलें तब व्यवहार कर सकती हैं, जिस तरह से उन्हें डिज़ाइन किया गया है, जिससे मीडिया सर्वर के डेटाबेस में मनमाना डेटा पुनर्प्राप्ति और संशोधन की अनुमति मिलती है। शुक्र है कि, सीगेट मीडिया सर्वर एक अलग SQLite3 डेटाबेस का उपयोग करता है, इस तरह के हमलावरों की दुर्भावनापूर्ण गतिविधि को सीमित करता है और वे इस भेद्यता का फायदा उठा सकते हैं।



सेवा अवधारणा के सुबूत सलाहकार के साथ उपलब्ध है जो दिखाता है कि मीडिया सर्वर में उपयोग किया जाने वाला Django वेब फ्रेमवर्क .psp एक्सटेंशन के साथ संबंधित है। कोई भी अपलोड जिसमें यह एक्सटेंशन होता है, उसे FastCGI प्रोटोकॉल के माध्यम से क्लाउड के Seagate Media Server भाग में तुरंत भेज दिया जाता है। एक्सटेंशन को मैनिप्युलेट करना और सार्वजनिक फ़ोल्डर के माध्यम से मीडिया सर्वर में दुर्भावनापूर्ण फ़ाइलों को इंजेक्ट करना इस तरह से हमलावरों को सर्वर से डेटा पुनर्प्राप्त करने के लिए कोड को चलाने के लिए अनुमति दे सकता है या क्या पहले से ही है, इसे न्यूनतम रूप से संशोधित कर सकता है।



ये SQL इंजेक्शन भेद्यता सीगेट पर्सनल क्लाउड SRN21C के फर्मवेयर संस्करणों 4.3.16.0 और 4.3.18.0 को प्रभावित करने के लिए पाए गए थे। यद्यपि ये केवल परीक्षण किए गए थे, विक्रेता अपेक्षा करते हैं कि अन्य संस्करण भी प्रभावित हो सकते हैं। सामने आए जोखिमों को कम करने के लिए, एक नया फर्मवेयर संस्करण 4.3.19.3 सीगेट पर्सनल क्लाउड के लिए जारी किया गया है जो सार्वजनिक फ़ोल्डर और विस्तार पुनर्निर्देशित तंत्र को बंद कर देता है जो इस तरह की भेद्यता की अनुमति देता है।