 Western Digital propose un nouveau firmware pour les NAS de la gamme My Cloud qui reposent sur un SoC Intel Atom C2338/C2350, Intel Pentium N3710 ou Marvell ARMADA 370/385.
Ce nouveau micrologiciel est numéroté 2.40.155 et daté du 28 juillet 2020. Il comble les failles de sécurité CVE-2019-18929, CVE-2019-18930 et CVE-2019-18931 qui ont pourtant été dévoilées en fin d'année dernière. Les corrections mettent donc toujours autant de temps à voir le jour chez WD ! Ces failles semblent pourtant assez ennuyeuses puisqu'elles permettent à un utilisateur invité de faire exécuter à distance au NAS du code arbitraire. L'exploit consiste à provoquer un dépassement de mémoire tampon du script download_mgr.cgi ou de l'Extended Instruction Pointer (EIP). L'assaillant doit pour cela truquer certains paramètres dans les requêtes GET/POST.
A noter que certains NAS My Cloud comme les modèles My Cloud 2.x, DL2100, DL4100 ou encore EX2100 n'ont pas bénéficié de cette mise à jour 2.40.155 et en restent donc à la version 2.31.204 sortie en décembre 2019 qui corrigeait déjà une vulnérabilité. A voir si ces modèles ne sont, cette fois, pas affectés ou bien si leur mise à jour est juste un peu en retard.
Téléchargement du firmware My Cloud OS 3 2.40.155
Par ailleurs, pour les utilisateurs d'un disque dur ou SSD externe USB Western Digital, nous constatons seulement maintenant qu'une nouvelle version 4.0 de l'application WD Discovery est proposée depuis le mois de juin. Cette version 4.0.251 apporte le support de nouveaux produits My Passport SSD, corrige quelques bugs mais surtout résout une importante faille de sécurité référencée CVE-2020-15816 (bulletin WDC-20005). Cette dernière peut être exploitée par certains malwares en utilisant les variables d'environnement DYLD pour injecter une bibliothèque et exécuter du code non autorisé.
Il est donc vivement recommandé d'installer la dernière version du logiciel WD Discovery qui donne, pour rappel, des informations sur les lecteurs WD connectés au système et permet de lancer les différents autres utilitaires de la marque comme le logiciel de sauvegarde WD Backup ou de chiffrement WD Security.
A noter que l'installateur de WD Discovery n'a pas été modifié mais il semble qu'il installe bien la dernière version 4.0 et non la 3.9.
Application Western Digital WD Discovery 4.0.251 pour Windows 7/8.1/10
|
Modérateur TLD
|
|
Actualités
16/04/24 Le logiciel Portable SSD Software tire sa révérence pour les SSD USB Samsung
17/04/24 NVIDIA GeForce 700/800/900/10/16/20/30/40/NVS/Quadro/RTX Production Branch 550.76
17/04/24 Insta360 Studio 2024 5.1.0
17/04/24 HAVIT Magic Eagle HV-MS1038 Programmable Gaming Mouse 1.0
17/04/24 Fractal Audio FM9 Amp Modeler/FX Processor 7.00
17/04/24 Creative Stage SE mini 1.0.0.6
17/04/24 Nikon D780 1.11
17/04/24 Mountain Base Camp 1.8.4
17/04/24 Mevo Wireless Camera 0.8.2.15.1 bêta
17/04/24 Microsoft Surface Studio 2 22000 24.021.10492.0 WHQL
