Уязвимость BDU:2024-07669

Идентификатор: BDU:2024-07669.
Наименование уязвимости: Уязвимость компонента Dynamic DNS операционной системы сетевых хранилищ My Cloud OS, позволяющая нарушителю выполнить произвольный код.
Описание уязвимости: Уязвимость компонента Dynamic DNS операционной системы сетевых хранилищ My Cloud OS связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Уязвимое ПО: Микропрограммный код Western Digital Corporation My Cloud EX2 Ultra до 5.29.102 | Микропрограммный код Western Digital Corporation My Cloud EX4100 до 5.29.102 | Микропрограммный код Western Digital Corporation My Cloud PR2100 до 5.29.102 | Микропрограммный код Western Digital Corporation My Cloud PR4100 до 5.29.102 | Операционная система, Микропрограммный код Western Digital Corporation My Cloud до 5.29.102 | Микропрограммный код Western Digital Corporation My Cloud Mirror Gen 2 до 5.29.102 | Микропрограммный код Western Digital Corporation My Cloud EX2100 до 5.29.102 | Микропрограммный код Western Digital Corporation My Cloud DL2100 до 5.29.102 | Микропрограммный код Western Digital Corporation My Cloud DL4100 до 5.29.102 | Операционная система, Микропрограммный код Western Digital Corporation WD Cloud до 5.29.102 |
Наименование ОС и тип аппаратной платформы:
Дата выявления: 02.08.2024.
CVSS 2.0: AV:N/AC:H/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)
Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
— использование систем обнаружения и предотвращения вторжений для нейтрализации попыток эксплуатации уязвимости;
— использование средств межсетевого экранирования уровня веб-приложений для предотвращения попыток эксплуатации уязвимости;
— ограничение доступа к устройству из внешних сетей (Интернет).
Использование рекомендаций:
https://www.westerndigital.com/support/product-security/wdc-24005-western-digital-my-cloud-os-5-firmware-5-29-102.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-22170.
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.westerndigital.com/support/product-security/wdc-24005-western-digital-my-cloud-os-5-firmware-5-29-102



