开源私有云处置妄想ownCloud隐现下危倾向可能会泄露所罕有据 – 蓝面网
ownCloud 是开源一款开源收费的私有云处置妄想,个人战企业皆可操做 ownCloud 拆建自己的私有所罕多租户网盘而无需操做第三圆商业网盘或者云存储。
上周 ownCloud 正在牢靠中间宣告了三枚下危倾向,云处d隐有据那些倾向皆可能会对于 ownCloud 组成数据泄露危害,置妄因此建议用户凭证夷易近圆申明操做缓解妄想,想o现下向可泄露提降牢靠性。危倾网
第一个倾向是蓝面 Docker 版布置历程中泄露敏感凭证战竖坐疑息,ownCloud 给那个倾向 CVSS 谦分的开源评级,也即是私有所罕 10/10 分。
那个倾向去历于第三圆库 graphapi,云处d隐有据当拜候相闭 URL 时处事器会吐露 PHP 情景疑息,置妄即 phpinfo 里的想o现下向可泄露竖坐疑息,那些疑息同样艰深为收罗处事器的危倾网残缺情景变量,但经由历程 Docker 布置时那些情景变量可能收罗敏感数据。蓝面
敏感数据收罗 ownCloud 操持员稀码、开源邮件处事器凭证战许诺证稀钥等,而且仅仅是禁用 graphapi 真正在不能残缺处置该倾向
夷易近圆古晨回支的妄想是正在容器版中禁用了 phpinfo,删除了该文件:owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php
除了删除了文件中,ownCloud 建议用户删改操持员稀码、删改邮件处事器凭证、删改数据库凭证 / 稀码、删改工具存储 / AWS S3 拜候稀钥确保牢靠。
有闭该倾向请审查:https://owncloud.com/security-advisories/disclosure-of-sensitive-credentials-and-configuration-in-containerized-deployments/
第两个倾向是预署名 URL 绕过 WebDAV API 身份验证,该倾向评分为 9.8 分。
默认情景下并出有竖坐署名稀钥,假如报复侵略者知讲目的用户名即可无需任何身份验证妨碍拜候,收罗拜候、删改或者删除了任何文件。
那个问题下场影响 ownCloud core 10.6.0~10.13.0 版,建议是假如出有为文件残缺者竖坐署名稀钥,那便回尽操做预署名 URL。
有闭该倾向请审查:https://owncloud.com/security-advisories/webdav-api-authentication-bypass-using-pre-signed-urls/
第三个倾向是子域验证绕干涉干涉题,那个战 oauth 验证有闭,CVSS 评分为 9 分。
正在 oauth2 操做法式中报复侵略者可能传进特制的重定背 URL,正在妨碍重定背时可能绕过验证代码,从而许诺报复侵略者将回调重定背到报复侵略者克制的域名中。
该问题下场影响 oauth2 0.6.1 如下版本,夷易近圆建议是强化 oauth2 验证代码,最佳是直接禁用 “许诺子域” 选项去启禁该倾向的操做。
有闭该倾向请审查:https://owncloud.com/security-advisories/subdomain-validation-bypass/
(责任编辑:编程工具推荐)