Seagate
De Seagate Media Server is een UPnp / DLNA Network Attached Storage-mechanisme dat is opgenomen in de Seagate Personal Cloud voor gebruik op individueel niveau. In een advies over de IoT-beveiligingsbugjachtwebsite Summer of Pwnage werden verschillende SQL-injectie-kwetsbaarheden in de Seagate Media Server ontdekt en besproken, waardoor het risico bestond dat persoonlijke gegevens die zijn opgeslagen in de database die door de mediaserver wordt gebruikt, worden opgehaald en gewijzigd.
De Seagate Personal Cloud is een cloudopslagfaciliteit die wordt gebruikt om foto's, video's en andere soorten multimedia op de mediaserver op te slaan. Aangezien persoonlijke gegevens in deze cloud worden geüpload, worden ze beschermd met autorisatiecontroles en wachtwoordbeveiliging, maar binnen de lay-out bestaat er een openbare map waarnaar onbevoegde gebruikers het recht hebben om gegevens en bestanden te uploaden.
Volgens de adviserend , kan deze openbare mapfunctie worden misbruikt door kwaadwillende aanvallers wanneer ze lastige bestanden en media uploaden naar de map in de cloud. De bestanden van deze ongeautoriseerde aanvallers kunnen zich dan gedragen zoals ze zijn ontworpen, waardoor het willekeurig ophalen en wijzigen van gegevens in de database van de mediaserver mogelijk is. Gelukkig beperkt het feit dat de Seagate Media Server een afzonderlijke SQLite3-database gebruikt, de kwaadwillende activiteit van dergelijke aanvallers en de mate waarin ze misbruik kunnen maken van deze kwetsbaarheid.
NAAR proof of concept is beschikbaar samen met het advies waaruit blijkt dat het Django-webraamwerk dat in de mediaserver wordt gebruikt, te maken heeft met .psp-extensies. Alle uploads die deze extensie bevatten, worden onmiddellijk doorgestuurd naar het Seagate Media Server-gedeelte van de cloud via het FastCGI-protocol. Door op deze manier de extensies te manipuleren en kwaadaardige bestanden in de mediaserver te injecteren via de openbare map, kunnen aanvallers code uitvoeren om gegevens van de server op te halen of minutieus wijzigen wat er al is.
Deze kwetsbaarheden voor SQL-injectie hebben invloed op firmwareversies 4.3.16.0 en 4.3.18.0 van de Seagate Personal Cloud SRN21C. Hoewel dit de enige waren die zijn getest, verwacht de leverancier dat ook andere versies kunnen worden beïnvloed. Om de risico's te verkleinen, een nieuwe firmwareversie 4.3.19.3 is vrijgegeven voor de Seagate Personal Cloud, die de openbare map en extensie-omleidingsmechanismen sluit die dit soort kwetsbaarheid mogelijk maken.
![Koppelen mislukt: uw Apple Watch kan niet worden gekoppeld met uw iPhone [FIX]](https://jf-balio.pt/img/how-tos/72/pairing-failed-your-apple-watch-couldn-t-pair-with-your-iphone.png)
