웨스턴디지털, 마이 클라우드 OS 5 취약점 해결

웨스턴디지털이 해커가 접근 권한을 얻어 원격 코드를 실행할 위협이 있는 마이 클라우드 OS 5의 보안 취약점 CVE-2021-44142를 해결했다고 밝혔다. 

웨스턴디지털에 따르면, CVE-2021-44142 결함은 ▲마이 클라우드 PR2100 ▲마이 클라우드 PR4100 ▲마이 클라우드 EX4100 ▲마이 클라우드 EX2 울트라 ▲마이 클라우드 미러 2세대 ▲마이 클라우드 DL2100 ▲마이 클라우드 DL4100 ▲마이 클라우드 EX2100 ▲마이 클라우드 ▲WD 클라우드 등에 영향을 줄 수 있다.

데브코어(DEVCORE)의 보안 연구소는 “CVE-2021-44142 취약점은 smbd에서 파일을 열어 EA 메타데이터의 구문을 분석할 때 발생하는데, 이 취약점을 이용해 파일의 확장 속성에 대한 쓰기 접근 권한을 얻을 수 있다. fruit_VFS의 문제는 fruit:metadata=netatalk 또는 fruit:resource=file을 사용하는 기본 구성에 존재한다. 두 옵션 모두 기본값이 아닌 다른 설정으로 변경만 해도 취약점을 보완할 수 있다”라고 설명했다. 

웨스턴디지털은 구성된 VFS 개체 목록에서 fruit_VFS 모듈을 제거하고 EA 지원 구성을 변경해 취약점을 보완하고 마이 클라우드 OS 5 펌웨어 5.21.104를 업로드했다.