描述:
ownCloud 發布了安全公告,以應對發現於 ownCloud core、graphapi 及 oauth2 程式庫中的多個漏洞。有關漏洞及攻擊向量的資料,請參閱供應商網站的相應安全公告。
有報告指 ownCloud graphapi 程式庫中的漏洞 (CVE-2023-49103) 正處於被攻擊的高風險。遠端攻擊者可以利用漏洞向受影響的系統傳送特製的 HTTP 請求,收集網絡伺服器的配置詳細資訊以及其他敏感數據,例如管理員密碼、郵件伺服器憑證和許可證密碼匙。 由於適用於受影響系統的修補程式仍未可獲取,受影響系統的系統管理員應遵從 ownCloud 的臨時解決方法,立即採取行動以降低風險。
受影響的系統:
- ownCloud core 程式庫版本 10.6.0 至 10.13.0
- ownCloud graphapi 程式庫版本 0.2.0 至 0.3.0
- ownCloud oauth2 程式庫版本 0.6.1 之前的版本
有關受影響產品的詳細資料,請參閱供應商網站的相應安全公告中有關 “Affected” 的部分。
影響:
成功利用這些漏洞可以在受影響的系統導致泄漏資訊、繞過保安限制、仿冒詐騙或篡改,視乎攻擊者利用哪些漏洞而定。
建議:
適用於受影響系統的修補程式仍未可獲取。此外,僅透過停用 ownCloud graphapi 程式庫是無法緩解漏洞 CVE-2023-49103。受影響系統的系統管理員應遵從產品供應商所提供的臨時解決方法,立即採取行動以降低風險:
對於正在使用 ownCloud core 程式庫的受影響版本:
- 如果檔案擁有人沒有配置簽署密碼匙,則拒絕使用預先簽署的URL
對於正在使用 ownCloud graphapi 程式庫的受影響版本:
- 刪除檔案“owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php”
- 停用 Docker 容器中的“phpinfo”功能
- 更改可能會泄漏的秘密,例如 ownCloud 管理員密碼、郵件伺服器和數據庫憑證、以及Object-Store/S3 存取密碼匙
對於正在使用 ownCloud oauth2 程式庫的受影響的版本:
- 強化oauth2應用程式中的認證碼;或停用“允許子域名”選項,作為替代方法
建議在採用臨時解決方法之前評估影響,並諮詢產品供應商以取得相關支援。
進一步資訊:
- https://owncloud.com/security-advisories/disclosure-of-sensitive-credentials-and-configuration-in-containerized-deployments/
- https://owncloud.com/security-advisories/subdomain-validation-bypass/
- https://owncloud.com/security-advisories/webdav-api-authentication-bypass-using-pre-signed-urls/
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49103
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49104
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49105