Western Digital: WD schließt kritische Lücken auf externen Laufwerken

Das My Cloud OS 3 auf älteren externen HDDs und Laufwerken ist unsicher. Western Digital schließt zumindest vier Sicherheitslücken.

Artikel veröffentlicht am ,
Western Digital schließt viele Sicherheitslücken in My Cloud OS 3.
Western Digital schließt viele Sicherheitslücken in My Cloud OS 3. (Bild: Pixabay.com/Montage: Golem.de/Pixabay License)

Der Festplattenhersteller Western Digital hat mehrere Sicherheitslücken auf dem älteren My Cloud OS 3 entdeckt und dafür Patches veröffentlicht. Das Programm wird mit Firmware 2.12.144 auf externen Festplatten und Datenträgern des Herstellers verwendet. Die Sicherheitslücken ermöglichen es fremden Parteien, auf die gespeicherten Daten zuzugreifen - teilweise ohne erweiterte Zugriffsrechte.

Stellenmarkt
  1. SAP Berater (m/w/d) Rechnungswesen und Logistik
    Duisburger Versorgungs- und Verkehrsgesellschaft mbH, Duisburg
  2. Softwareentwickler Healthcare IT (gn*)
    medavis GmbH, Karlsruhe
Detailsuche

Das ermöglicht etwa die Sicherheitslücke mit der Bezeichnung CVE-2021-40438, die zudem einen Score von 9.0 aufweist und daher besonders kritisch ist. Angreifer können mittels eigens dafür erstellter Links eine Anfrage an einen Drittserver stellen und darauf Daten der verwundbaren HDD kopieren.

Auch die CVE-2021-39275 wird mit einem Score von 9.8 als kritisch eingestuft. Die Lücke nutzt einen Buffer Overflow für Eingaben aus. Beide Sicherheitslücken werden durch den Apache-HTTP-Server 2.4.48 und älter verursacht. My Cloud OS 3 verwendet noch diese alte Version der Software und ist selbst auch bereits älter.

My Cloud OS 3 läuft im April 2022 aus

Die beiden Sicherheitslücken CVE-2021-36160 und CVE-2021-34798 sind mit 7.5 etwas niedriger, aber immer noch als hohes Risiko eingestuft. Mit Hilfe einer manipulierten URL kann das System mittels Denial of Service zum Absturz gebracht werden. Auch hier ist der Grund im veralteten Apache-HTTP-Server zu finden, der von My Cloud OS 3 noch genutzt wird.

Western Digital 4TB Elements Desktop externe Festplatte USB3.0
Golem Akademie
  1. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
    04.-06.07.2022, Virtuell
  2. Blender Grundkurs: virtueller Drei-Tage-Workshop
    07.-09.06.2022, Virtuell
Weitere IT-Trainings

Produkte mit My Cloud OS 3 werden spätestens im April 2022 nicht mehr vom Hersteller unterstützt. Das liegt unter anderem auch an den veralteten und daher unsicheren Komponenten wie dem genannten Apache-Server 2.4.48. Es wird daher vom Hersteller und anderen Stellen geraten, auf ein anderes Produkt zu wechseln und die Hardware zu aktualisieren.

Geräte, die mit My Cloud OS 5 kompatibel sind, haben eine vorgezogene Deadline erhalten, die am 15. Januar 2022 endete. WD schaltet diverse Features ab und will so zum Softwareupgrade motivieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Love, Death + Robots 3
Mal spannend, mal tragisch, mal gelungen, mal nicht so

Die abwechslungsreichste Science-Fiction-Serie unserer Zeit ist wieder da - mit acht neuen Folgen der von David Fincher produzierten Anthologie-Reihe.
Von Peter Osteried

Love, Death + Robots 3: Mal spannend, mal tragisch, mal gelungen, mal nicht so
Artikel
  1. Delfast Top 3.0: Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein
    Delfast Top 3.0
    Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein

    Ukrainische Infanteristen nutzen E-Motorräder, um leise und schnell zum Einsatz zu gelangen und die Panzerabwehrlenkwaffe NLAW zu transportieren.

  2. Kojima Productions: Norman Reedus bestätigt Arbeit an Death Stranding 2
    Kojima Productions
    Norman Reedus bestätigt Arbeit an Death Stranding 2

    Hat sich Schauspieler Norman Reedus verplappert - oder absichtlich die Arbeit an Death Stranding 2 bestätigt?

  3. Missbrauchs-Vorwürfe: SpaceX zahlte 250.000 US-Dollar Abfindung
    Missbrauchs-Vorwürfe
    SpaceX zahlte 250.000 US-Dollar Abfindung

    Elon Musk soll einer Flugbegleiterin Geld für Sex angeboten haben. SpaceX zahlte für eine Geheimhaltungsvereinbarung.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Borderlands 3 gratis • CW: Top-Rabatte auf PC-Komponenten • Inno3D RTX 3070 günstig wie nie: 614€ • Ryzen 9 5900X 398€ • Top-Laptops zu Tiefpreisen • Edifier Lautsprecher 129€ • Kingston SSD 2TB günstig wie nie: 129,90€ • Samsung Soundbar + Subwoofer günstig wie nie: 228,52€ [Werbung]
    •  /