Seagate
Seagate Media Server este un mecanism de stocare atașat la rețea UPnp / DLNA încorporat în Seagate Personal Cloud pentru utilizare la nivel individual. Într-o consiliere pe site-ul de căutare a erorilor de securitate IoT Summer of Pwnage, au fost descoperite și discutate mai multe vulnerabilități de injecție SQL în Seagate Media Server, riscând recuperarea și modificarea datelor personale stocate în baza de date utilizată de serverul media.
Seagate Personal Cloud este o facilitate de stocare în cloud care este utilizată pentru a stoca fotografii, videoclipuri și alte tipuri de multimedia pe serverul său media. Pe măsură ce datele personale sunt încărcate în acest cloud, acestea sunt protejate cu verificări de autorizare și securitate a parolei, dar în cadrul aspectului său, există un folder public la care utilizatorii neautorizați au dreptul de a încărca date și fișiere.
In conformitate cu consultativ , această facilitate de folder public poate fi abuzată de atacatori rău intenționați atunci când încarcă fișiere și suport media supărătoare în folderul din cloud. Fișierele acestor atacatori neautorizați se pot comporta așa cum au fost proiectate, permițând preluarea și modificarea arbitrară a datelor în baza de date a serverului media. Din fericire, faptul că Seagate Media Server folosește o bază de date SQLite3 separată restricționează activitatea rău intenționată a acestor atacatori și măsura în care aceștia pot exploata această vulnerabilitate.
LA dovada de concept este disponibil împreună cu recomandarea care arată că cadrul web Django utilizat în serverul media se ocupă de extensiile .psp. Orice încărcare care conține această extensie este redirecționată imediat către porțiunea Cloud din Seagate Media Server prin protocolul FastCGI. Manipularea extensiilor și injectarea de fișiere rău intenționate în serverul media prin folderul public în acest fel ar putea permite atacatorilor să ruleze cod pentru a prelua date de pe server sau pentru a modifica minutios ceea ce există deja.
S-a constatat că aceste vulnerabilități de injecție SQL afectează versiunile de firmware 4.3.16.0 și 4.3.18.0 ale Seagate Personal Cloud SRN21C. Deși acestea au fost singurele testate, furnizorul se așteaptă ca și alte versiuni să fie afectate. Pentru a atenua riscurile prezentate, o nouă versiune de firmware 4.3.19.3 a fost lansat pentru Seagate Personal Cloud care închide folderul public și mecanismele de redirecționare a extensiilor care permit acest tip de vulnerabilitate.
![[FIX] OneNote continuă să se blocheze pe iPad](https://jf-balio.pt/img/how-tos/32/onenote-keeps-crashing-ipad.jpg)
