3 Kritik Güvenlik Açıkları ownCloud Kullanıcılarını Veri İhlallerine Maruz Bırakıyor - Dünyadan Güncel Teknoloji Haberleri

3 Kritik Güvenlik Açıkları ownCloud Kullanıcılarını Veri İhlallerine Maruz Bırakıyor - Dünyadan Güncel Teknoloji Haberleri
“Anonim olarak yapılabilir ve diğer kullanıcıların oturumları çalınabilir ve yönetici kullanıcıya iletilebilir Ayrıca kullanıcılara ownCloud yönetici şifresi, posta sunucusu ve veritabanı kimlik bilgileri ve Object-Store/S3 erişim anahtarları gibi sırları değiştirmelerini de tavsiye ediyor 2 php” dosyasının silinmesini ve ‘phpinfo’ işlevinin devre dışı bırakılmasını öneriyor söz konusu ilk kusurdan ”



siber-2

Konteynerli dağıtımlarda bu ortam değişkenleri, ownCloud yönetici şifresi, posta sunucusu kimlik bilgileri ve lisans anahtarı gibi hassas verileri içerebilir 6 3 5 (CVSS puanı: 10 Bu URL’ye erişildiğinde, PHP ortamının (phpinfo) yapılandırma ayrıntılarını ortaya çıkarıyor” dedi


25 Kasım 2023Haber odasıVeri Güvenliği / Güvenlik Açığı

Açık kaynaklı dosya paylaşım yazılımı ownCloud’un geliştiricileri, hassas bilgileri ifşa etmek ve dosyaları değiştirmek için kullanılabilecek üç kritik güvenlik açığı konusunda uyardı

Açıklama, bir kavram kanıtlama (PoC) istismarının gerçekleştirilmesiyle geldi piyasaya sürülmüş CrushFTP çözümündeki kritik bir uzaktan kod yürütme güvenlik açığı için (CVE-2023-43177) kimliği doğrulanmamış bir saldırgan tarafından dosyalara erişmek, ana bilgisayarda rastgele programlar çalıştırmak ve düz metin parolaları almak için silah olarak kullanılabilir ”

Çözüm olarak ownCloud, “owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo

ikinci problem Kurbanın kullanıcı adı biliniyorsa ve kurbanın varsayılan davranış olan yapılandırılmış bir imzalama anahtarı yoksa, kimlik doğrulaması olmadan herhangi bir dosyaya erişmeyi, değiştirmeyi veya silmeyi mümkün kılar

Güvenlik açıklarının kısa açıklaması aşağıdaki gibidir:

  • 0

    Son olarak, üçüncü kusur Bir saldırganın “doğrulama kodunu atlayan ve böylece saldırganın geri aramaları kendisi tarafından kontrol edilen bir TLD’ye yeniden yönlendirmesine olanak tanıyan özel hazırlanmış bir yönlendirme URL’si iletmesine” olanak tanıyan uygunsuz erişim kontrolü durumuyla ilgilidir 0’a kadar olan temel sürümleri etkileyen, Önceden İmzalanmış URL’leri kullanan WebDAV Api Kimlik Doğrulamasını Atlama (CVSS puanı: 9,8)

  • 0 0)
  • 10 1 sürümünden önce oauth2’yi etkileyen Alt Alan Adı Doğrulama Atlaması (CVSS puanı: 9,0)

Şirket, “‘graphapi’ uygulaması, URL sağlayan bir üçüncü taraf kitaplığına dayanıyor 0’a kadar graphapi sürümlerini etkileyen kapsayıcılı dağıtımlardaki hassas kimlik bilgilerinin ve yapılandırmanın açıklanması 13 210 Ağustos 2023’te yayınlandı 6 0’dan 10

Sorun CrushFTP’de giderildi sürüm 10 0’dan 0

“Bu bilgiler, web sunucusunun tüm ortam değişkenlerini içerir

Oauth2 uygulamasındaki doğrulama koduna sağlamlaştırma önlemleri eklemenin yanı sıra ownCloud, kullanıcılara geçici çözüm olarak “Alt Alan Adlarına İzin Ver” seçeneğini devre dışı bırakmalarını önerdi

CrushFTP, “Bu güvenlik açığı kritiktir çünkü herhangi bir kimlik doğrulaması gerektirmez” kayıt edilmiş o sırada yayınlanan bir tavsiye niteliğinde