701753
Всего в различных компонентах ownCloud обнаружено три уязвимости, эксплуатация которых может позволить злоумышленнику получить доступ к конфиденциальным данным в целевой системе, модифицировать или удалить любой файл в уязвимом приложении, а также перенаправить данные на подконтрольный злоумышленнику домен.
Описание уязвимостей приведено в бюллетене НКЦКИ.
В целях минимизации возможных рисков рекомендуется обновить программное обеспечение ownCloud и принять меры, предложенные компанией-разработчиком:
В приложении Graph API:
- удалить файл owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php;
- сменить потенциально скомпрометированные аутентификационные данные, включая пароль администратора ownCloud, учетные данные от почтового сервера, БД и ключи доступа для Object-Store/S3.
- удалить файл owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php;
- отключить функцию phpinfo в контейнерах Docker;
- в приложении Oauth2 необходимо отключить опцию Allow Subdomains;
- в API WebDAV необходимо настроить ключи подписи для всех пользователей, а также установить запрет на использование pre-signed URL, если для владельца файлов не настроен ключ подписи.
| Скачать бюллетень НКЦКИ в формате PDF: |  |
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
