西部数据修复了一个严重漏洞，使攻击者能够在未修补的 My Cloud OS 5 设备上以 root 权限远程执行代码。

此漏洞是 Samba vfs_fruit VFS 模块中的越界堆读/写（跟踪为 CVE-2021-44142）。

未经身份验证的威胁参与者可以在针对运行易受攻击固件版本的 My Cloud 设备的低复杂性攻击中利用它。

“在 smbd 中打开文件时，扩展属性 (EA) 元数据的解析中存在此特定缺陷，”数据存储公司解释说。

“如果允许未经身份验证的用户对文件扩展属性进行写访问，则可以利用此漏洞。”

通过删除易受攻击的 Samba 模块解决的错误德国vps怎么样
虽然默认配置会受到攻击，但威胁参与者需要对文件的扩展属性进行写访问（根据 Samba 团队的说法，如果允许他们对文件扩展属性进行写访问，这也可能是访客或未经身份验证的用户。

西部数据通过从配置的 VFS 对象列表中删除“fruit”VFS 模块并更改 2022 年 3 月 23 日发布的 My Cloud OS 5 固件 5.21.104 中的 EA 支持配置来解决该漏洞。

这家美国硬盘驱动器制造商建议客户尽快通过单击更新警报将其设备更新到最新固件。

被认为易受 CVE-2021-44142 攻击的设备列表包括：

我的云 PR2100
我的云 PR4100
我的云 EX4100
我的云 EX2 Ultra
我的云镜第二代
我的云 DL2100
我的云 DL4100
我的云 EX2100
我的云
西部数据云
Netatalk 严重漏洞本周也得到修复
本周，西部数据修复 了用于访问网络共享和执行 Time Machine 备份的开源 Netatalk Apple 文件协议文件服务器中的另一个严重漏洞。

该错误已通过弃用 Netatalk 服务并使用 5.19.117 固件更新将其从 My Cloud OS 中删除得到解决。

将固件安装到最新版本后，Netatalk 服务将不再可用。

但是，My Cloud 设备用户仍然可以将其配置为通过 SMB 访问网络共享（有关如何执行此操作的信息可在此 支持页面上找到）。