Western Digital: WD schließt kritische Lücken auf externen Laufwerken

Das My Cloud OS 3 auf älteren externen HDDs und Laufwerken ist unsicher. Western Digital schließt zumindest vier Sicherheitslücken.

Artikel veröffentlicht am ,
Western Digital schließt viele Sicherheitslücken in My Cloud OS 3.
Western Digital schließt viele Sicherheitslücken in My Cloud OS 3. (Bild: Pixabay.com/Montage: Golem.de/Pixabay License)

Der Festplattenhersteller Western Digital hat mehrere Sicherheitslücken auf dem älteren My Cloud OS 3 entdeckt und dafür Patches veröffentlicht. Das Programm wird mit Firmware 2.12.144 auf externen Festplatten und Datenträgern des Herstellers verwendet. Die Sicherheitslücken ermöglichen es fremden Parteien, auf die gespeicherten Daten zuzugreifen - teilweise ohne erweiterte Zugriffsrechte.

Stellenmarkt
  1. Software Architekt (m/w/d) für die Business Unit Digitalization
    Maag Germany GmbH, Kervenheim, Xanten, Großostheim
  2. Betriebswirtin / Wirtschaftsinformatikerin / Wirtschaftsingenieurin als SAP-Architektin (m/w/d)
    Max-Planck-Gesellschaft zur Förderung der Wissenschaften e.V., München
Detailsuche

Das ermöglicht etwa die Sicherheitslücke mit der Bezeichnung CVE-2021-40438, die zudem einen Score von 9.0 aufweist und daher besonders kritisch ist. Angreifer können mittels eigens dafür erstellter Links eine Anfrage an einen Drittserver stellen und darauf Daten der verwundbaren HDD kopieren.

Auch die CVE-2021-39275 wird mit einem Score von 9.8 als kritisch eingestuft. Die Lücke nutzt einen Buffer Overflow für Eingaben aus. Beide Sicherheitslücken werden durch den Apache-HTTP-Server 2.4.48 und älter verursacht. My Cloud OS 3 verwendet noch diese alte Version der Software und ist selbst auch bereits älter.

My Cloud OS 3 läuft im April 2022 aus

Die beiden Sicherheitslücken CVE-2021-36160 und CVE-2021-34798 sind mit 7.5 etwas niedriger, aber immer noch als hohes Risiko eingestuft. Mit Hilfe einer manipulierten URL kann das System mittels Denial of Service zum Absturz gebracht werden. Auch hier ist der Grund im veralteten Apache-HTTP-Server zu finden, der von My Cloud OS 3 noch genutzt wird.

Western Digital 4TB Elements Desktop externe Festplatte USB3.0
Golem Karrierewelt
  1. DP-203 Data Engineering on Microsoft Azure virtueller Vier-Tage-Workshop
    12.-15.09.2022, virtuell
  2. Adobe Photoshop Aufbaukurs: virtueller Zwei-Tage-Workshop
    02./03.06.2022, Virtuell
Weitere IT-Trainings

Produkte mit My Cloud OS 3 werden spätestens im April 2022 nicht mehr vom Hersteller unterstützt. Das liegt unter anderem auch an den veralteten und daher unsicheren Komponenten wie dem genannten Apache-Server 2.4.48. Es wird daher vom Hersteller und anderen Stellen geraten, auf ein anderes Produkt zu wechseln und die Hardware zu aktualisieren.

Geräte, die mit My Cloud OS 5 kompatibel sind, haben eine vorgezogene Deadline erhalten, die am 15. Januar 2022 endete. WD schaltet diverse Features ab und will so zum Softwareupgrade motivieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Agile Softwareentwicklung
Einfach mal so drauflos programmiert?

Ohne Scrum wäre das nicht passiert, heißt es oft, wenn etwas schiefgeht. Dabei ist es umgekehrt: Ohne agiles Arbeiten geht es nicht mehr. Doch es gibt drei fundamentale Missverständnisse.
Von Frank Heckel

Agile Softwareentwicklung: Einfach mal so drauflos programmiert?
Artikel
  1. Spielebranche: Management möchte Electronic Arts verkaufen
    Spielebranche
    Management möchte Electronic Arts verkaufen

    EA-Chef Andrew Wilson will eine Firma verkaufen - seine. Verhandlungen soll es mit Amazon, Apple und zuletzt mit Disney gegeben haben.

  2. Chipknappheit: Wafer für Halbleiterproduktion bleiben auf Jahre knapp
    Chipknappheit
    Wafer für Halbleiterproduktion bleiben auf Jahre knapp

    Die Grundlage jedes Chips ist ein Siliziumwafer. Für mehr Chips werden mehr Wafer benötigt - deren Hersteller zögern aber bei Investitionen.

  3. Telemetrie: Voyager 1 weiß wohl nicht, wo sie ist
    Telemetrie
    Voyager 1 weiß wohl nicht, wo sie ist

    Seit 1977 befindet sich die Raumsonde Voyager 1 auf ihrer Reise durchs All. Die neusten Daten scheinen einen falschen Standort anzuzeigen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Xbox Series X bestellbar • Samsung schenkt 19% MwSt. • MindStar (u. a. AMD Ryzen 9 5950X 488€) • Cyber Week: Jetzt alle Deals freigeschaltet • LG OLED TV 77" 62% günstiger: 1.749€ • Bis zu 35% auf MSI • Alternate (u. a. AKRacing Core EX SE Gaming-Stuhl 169€) [Werbung]
    •  /