- 9,413
- 18
- 8 Ноя 2022
Разработчики дали рекомендации по смягчению последствий, затягивать с ними не стоит.
Разработчики программного обеспечения с открытым исходным кодом ownCloud , используемого для синхронизации данных и совместной работы с файлами, предупредили 21-го ноября о трёх критических уязвимостях, которые могут быть использованы для раскрытия конфиденциальной информации и изменения файлов.
Ниже представлено краткое описание уязвимостей, идентификаторы CVE им, судя по всему, пока не назначены:
Для просмотра ссылки Войдиили Зарегистрируйся
Реализация первой уязвимости зависит от сторонней библиотеки, предоставляющей URL-адрес. При доступе к этому URL раскрываются детали конфигурации PHP (phpinfo), включая важные переменные окружения сервера, такие как пароли администратора ownCloud, учётные данные почтового сервера и лицензионный ключ.
Разработчики ownCloud рекомендуют администраторам следующие меры, чтобы защититься от этой уязвимости:
Третья уязвимость связана с ненадлежащим контролем доступа, который позволяет злоумышленнику «передавать специально созданный URL-адрес перенаправления, который обходит код проверки и, таким образом, позволяет злоумышленнику перенаправлять обратные вызовы в TLD , контролируемый злоумышленником».
Помимо добавления мер ужесточения в код проверки в приложении oauth2, представители ownCloud также предложили пользователям отключить опцию «Разрешить поддомены» в качестве обходного пути.
Разумеется, одним из лучших решений помимо временных фиксов является установка обновлений безопасности для затронутого ПО. Несвоевременное обновление ПО открывает хакерам двери для кибератак, поэтому администраторам настоятельно рекомендуется уделять пристальное внимание выходящим обновлениям безопасности и оперативно их устанавливать.
Разработчики программного обеспечения с открытым исходным кодом ownCloud , используемого для синхронизации данных и совместной работы с файлами, предупредили 21-го ноября о трёх критических уязвимостях, которые могут быть использованы для раскрытия конфиденциальной информации и изменения файлов.
Ниже представлено краткое описание уязвимостей, идентификаторы CVE им, судя по всему, пока не назначены:
Для просмотра ссылки Войди
- Для просмотра ссылки Войди
или Зарегистрируйся : раскрытие конфиденциальных учётных данных и конфигурации в контейнерных развёртываниях. Влияет на версии graphapi от 0.2.0 до 0.3.0 (Оценка CVSS: 10.0). - Для просмотра ссылки Войди
или Зарегистрируйся : обход аутентификации WebDAV Api с использованием предварительно подписанных URL -адресов. Влияет на основные версии с 10.6.0 по 10.13.0 (оценка CVSS: 9.8). - Для просмотра ссылки Войди
или Зарегистрируйся : обход проверки поддомена, влияющий на oauth2 . Затрагивает версии до 0.6.1 (оценка CVSS: 9.0).
Реализация первой уязвимости зависит от сторонней библиотеки, предоставляющей URL-адрес. При доступе к этому URL раскрываются детали конфигурации PHP (phpinfo), включая важные переменные окружения сервера, такие как пароли администратора ownCloud, учётные данные почтового сервера и лицензионный ключ.
Разработчики ownCloud рекомендуют администраторам следующие меры, чтобы защититься от этой уязвимости:
- удалить файл «owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php»;
- отключить функцию «phpinfo»;
- изменить секретные данные (пароли администратора, учётные данные почтового сервера и баз данных).
Третья уязвимость связана с ненадлежащим контролем доступа, который позволяет злоумышленнику «передавать специально созданный URL-адрес перенаправления, который обходит код проверки и, таким образом, позволяет злоумышленнику перенаправлять обратные вызовы в TLD , контролируемый злоумышленником».
Помимо добавления мер ужесточения в код проверки в приложении oauth2, представители ownCloud также предложили пользователям отключить опцию «Разрешить поддомены» в качестве обходного пути.
Разумеется, одним из лучших решений помимо временных фиксов является установка обновлений безопасности для затронутого ПО. Несвоевременное обновление ПО открывает хакерам двери для кибератак, поэтому администраторам настоятельно рекомендуется уделять пристальное внимание выходящим обновлениям безопасности и оперативно их устанавливать.
- Источник новости
- www.securitylab.ru
