Поддържащите софтуера с отворен код за споделяне на файлове ownCloud предупредиха за три критични грешки в сигурността, които могат да бъдат използвани за разкриване на чувствителна информация и промяна на файлове.
Кратко описание на уязвимостите е следното –
„Тази информация включва всички променливи на средата на уеб сървъра. При контейнерни разгръщания тези променливи на средата могат да включват чувствителни данни, като паролата на администратора на ownCloud, идентификационните данни на пощенския сървър и лицензионния ключ.“
Като поправка ownCloud препоръчва да се изтрие файлът „owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php“ и да се деактивира функцията „phpinfo“. Той също така съветва потребителите да променят тайните, като паролата на администратора на ownCloud, данните за пощенския сървър и базата данни и ключовете за достъп до Object-Store/S3.
Вторият проблем дава възможност за достъп, промяна или изтриване на всеки файл без удостоверяване на автентичността, ако потребителското име на жертвата е известно и жертвата няма конфигуриран ключ за подписване, което е поведението по подразбиране.
И накрая, третият недостатък е свързан със случай на неправилен контрол на достъпа, който позволява на нападателя да „подаде специално създаден redirect-url, който заобикаля кода за проверка и по този начин позволява на нападателя да пренасочи обратните повиквания към TLD, контролиран от нападателя“.
Освен добавянето на мерки за укрепване на кода за валидиране в приложението oauth2, ownCloud предложи на потребителите да деактивират опцията „Allow Subdomains“ (Разрешаване на поддомейни) като обходен вариант.
Разкритието идва в момент, в който е публикуван доказателство за концепцията (PoC) за експлойт за критична уязвимост за отдалечено изпълнение на код в решението CrushFTP (CVE-2023-43177), която може да бъде използвана от неавтентифициран нападател за достъп до файлове, стартиране на произволни програми на хоста и получаване на пароли в обикновен текст.
Проблемът е отстранен във версия 10.5.2 на CrushFTP, която беше пусната на 10 август 2023 г.
„Тази уязвимост е критична, тъй като НЕ изисква никаква автентификация“, отбеляза CrushFTP в издадената тогава консултация. „Тя може да бъде извършена анонимно и да открадне сесията на други потребители и да ескалира до потребител администратор.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.