描述:
ownCloud 发布了安全公告,以应对发现于 ownCloud core、graphapi 及 oauth2 程式库中的多个漏洞。有关漏洞及攻击向量的资料,请参阅供应商网站的相应安全公告。
有报告指 ownCloud graphapi 程式库中的漏洞 (CVE-2023-49103) 正处于被攻击的高风险。远端攻击者可以利用漏洞向受影响的系统传送特制的 HTTP 请求,收集网络伺服器的配置详细资讯以及其他敏感数据,例如管理员密码、邮件伺服器凭证和许可证密码匙。 由于适用于受影响系统的修补程式仍未可获取,受影响系统的系统管理员应遵从 ownCloud 的临时解决方法,立即采取行动以降低风险。
受影响的系统:
- ownCloud core 程式库版本 10.6.0 至 10.13.0
- ownCloud graphapi 程式库版本 0.2.0 至 0.3.0
- ownCloud oauth2 程式库版本 0.6.1 之前的版本
有关受影响产品的详细资料,请参阅供应商网站的相应安全公告中有关 “Affected” 的部分。
影响:
成功利用这些漏洞可以在受影响的系统导致泄漏资讯、绕过保安限制、仿冒诈骗或篡改,视乎攻击者利用哪些漏洞而定。
建议:
适用于受影响系统的修补程式仍未可获取。此外,仅透过停用 ownCloud graphapi 程式库是无法缓解漏洞 CVE-2023-49103。受影响系统的系统管理员应遵从产品供应商所提供的临时解决方法,立即采取行动以降低风险:
对于正在使用 ownCloud core 程式库的受影响版本:
- 如果档案拥有人没有配置签署密码匙,则拒绝使用预先签署的URL
对于正在使用 ownCloud graphapi 程式库的受影响版本:
- 删除档案“owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php”
- 停用 Docker 容器中的“phpinfo”功能
- 更改可能会泄漏的秘密,例如 ownCloud 管理员密码、邮件伺服器和数据库凭证、以及Object-Store/S3 存取密码匙
对于正在使用 ownCloud oauth2 程式库的受影响的版本:
- 强化oauth2应用程式中的认证码;或停用“允许子域名”选项,作为替代方法
建议在采用临时解决方法之前评估影响,并谘询产品供应商以取得相关支援。
进一步资讯:
- https://owncloud.com/security-advisories/disclosure-of-sensitive-credentials-and-configuration-in-containerized-deployments/
- https://owncloud.com/security-advisories/subdomain-validation-bypass/
- https://owncloud.com/security-advisories/webdav-api-authentication-bypass-using-pre-signed-urls/
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49103
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49104
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49105