开源私有云解决方案ownCloud出现高危漏洞可能会泄露所有数据 – 蓝点网
ownCloud 是开源一款开源免费的私有云解决方案,个人和企业都可以使用 ownCloud 搭建自己的私有所有数据多租户网盘而无需使用第三方商业网盘或云存储。
上周 ownCloud 在安全中心公布了三枚高危漏洞,云解这些漏洞都可能会对 ownCloud 造成数据泄露风险,决方因此建议用户按照官方说明应用缓解方案,现高泄露提升安全性。危漏网
第一个漏洞是蓝点 Docker 版部署过程中泄露敏感凭据和配置信息,ownCloud 给这个漏洞 CVSS 满分的开源评级,也就是私有所有数据 10/10 分。
这个漏洞来源于第三方库 graphapi,云解当访问相关 URL 时服务器会暴露 PHP 环境信息,决方即 phpinfo 里的现高泄露配置信息,这些信息一般是危漏网包含服务器的所有环境变量,但通过 Docker 部署时这些环境变量可能包含敏感数据。蓝点
敏感数据包括 ownCloud 管理员密码、开源邮件服务器凭据和许可证密钥等,而且仅仅是禁用 graphapi 并不能彻底解决该漏洞
官方目前采取的方案是在容器版中禁用了 phpinfo,删除该文件:owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php
除了删除文件外,ownCloud 建议用户修改管理员密码、修改邮件服务器凭据、修改数据库凭据 / 密码、修改对象存储 / AWS S3 访问密钥确保安全。
有关该漏洞请查看:https://owncloud.com/security-advisories/disclosure-of-sensitive-credentials-and-configuration-in-containerized-deployments/
第二个漏洞是预签名 URL 绕过 WebDAV API 身份验证,该漏洞评分为 9.8 分。
默认情况下并没有配置签名密钥,如果攻击者知道目标用户名即可无需任何身份验证进行访问,包括访问、修改或删除任何文件。
这个问题影响 ownCloud core 10.6.0~10.13.0 版,建议是如果没有为文件所有者配置签名密钥,那就拒绝使用预签名 URL。
有关该漏洞请查看:https://owncloud.com/security-advisories/webdav-api-authentication-bypass-using-pre-signed-urls/
第三个漏洞是子域验证绕过问题,这个和 oauth 验证有关,CVSS 评分为 9 分。
在 oauth2 应用程序中攻击者可以传入特制的重定向 URL,在进行重定向时可以绕过验证代码,从而允许攻击者将回调重定向到攻击者控制的域名中。
该问题影响 oauth2 0.6.1 以下版本,官方建议是强化 oauth2 验证代码,最好是直接禁用 “允许子域” 选项来封禁该漏洞的利用。
有关该漏洞请查看:https://owncloud.com/security-advisories/subdomain-validation-bypass/
- ·《英雄联盟》S8预选赛EDG击败JDG 将与RW争夺总决赛名额
- ·贵安樱花圃门票多少钱
- ·将去游戏展:《Robo Beat(机器节拍)》最新游戏预报 2023年登岸
- ·卖卖冒充任天国游戏机配件 上海一网店涉嫌侵权被查
- ·猪爸爸救了小灰狼的故事
- ·将去游戏展汇总:真幻5可骇新游《ILL》新预报 《光明影象:无贫》主机版公布
- ·2022下淳国际缓乡金花节甚么时候 活动时候及活动详情
- ·《权力的游戏》衍逝世剧衍逝世剧《龙之家属》新海报 8.21正式开播
- ·猪先生的暖暖被的故事
- ·《风暴奇侠The Cycle:Frontier》的季前赛来日诰日推出 可正在 STEAM 战 EPIC 游戏商展免费玩耍
- ·《茶杯头》将去会有真体版 曾念把DLC做成伶仃游戏
- ·中国挪动与当贝达成计谋开做 共同鞭策聪明家庭逝世态 -
- ·小小熊要睡觉了的故事
- ·2022上海樱花节是几月几日
- ·除甲醛服从净化器哪个好? 甲醛氛围净化器哪个好? -
- ·悦去嘉陵江滨江戚闲讲甚么时候开放?详细地位正在哪?