3 Kritik Güvenlik Açıkları ownCloud Kullanıcılarını Veri İhlallerine Maruz Bırakıyor - Dünyadan Güncel Teknoloji Haberleri

3 Kritik Güvenlik Açıkları ownCloud Kullanıcılarını Veri İhlallerine Maruz Bırakıyor - Dünyadan Güncel Teknoloji Haberleri
Bu URL’ye erişildiğinde, PHP ortamının (phpinfo) yapılandırma ayrıntılarını ortaya çıkarıyor” dedi 0’a kadar olan temel sürümleri etkileyen, Önceden İmzalanmış URL’leri kullanan WebDAV Api Kimlik Doğrulamasını Atlama (CVSS puanı: 9,8)
  • 0 0’a kadar graphapi sürümlerini etkileyen kapsayıcılı dağıtımlardaki hassas kimlik bilgilerinin ve yapılandırmanın açıklanması

    Son olarak, üçüncü kusur Bir saldırganın “doğrulama kodunu atlayan ve böylece saldırganın geri aramaları kendisi tarafından kontrol edilen bir TLD’ye yeniden yönlendirmesine olanak tanıyan özel hazırlanmış bir yönlendirme URL’si iletmesine” olanak tanıyan uygunsuz erişim kontrolü durumuyla ilgilidir

    Açıklama, bir kavram kanıtlama (PoC) istismarının gerçekleştirilmesiyle geldi piyasaya sürülmüş CrushFTP çözümündeki kritik bir uzaktan kod yürütme güvenlik açığı için (CVE-2023-43177) kimliği doğrulanmamış bir saldırgan tarafından dosyalara erişmek, ana bilgisayarda rastgele programlar çalıştırmak ve düz metin parolaları almak için silah olarak kullanılabilir Konteynerli dağıtımlarda bu ortam değişkenleri, ownCloud yönetici şifresi, posta sunucusu kimlik bilgileri ve lisans anahtarı gibi hassas verileri içerebilir 0)

  • 10 0’dan 0 13

    “Bu bilgiler, web sunucusunun tüm ortam değişkenlerini içerir


    25 Kasım 2023Haber odasıVeri Güvenliği / Güvenlik Açığı

    Açık kaynaklı dosya paylaşım yazılımı ownCloud’un geliştiricileri, hassas bilgileri ifşa etmek ve dosyaları değiştirmek için kullanılabilecek üç kritik güvenlik açığı konusunda uyardı ”



    siber-2

    3 php” dosyasının silinmesini ve ‘phpinfo’ işlevinin devre dışı bırakılmasını öneriyor 2

    Sorun CrushFTP’de giderildi sürüm 10 1 sürümünden önce oauth2’yi etkileyen Alt Alan Adı Doğrulama Atlaması (CVSS puanı: 9,0)

  • Şirket, “‘graphapi’ uygulaması, URL sağlayan bir üçüncü taraf kitaplığına dayanıyor

    CrushFTP, “Bu güvenlik açığı kritiktir çünkü herhangi bir kimlik doğrulaması gerektirmez” kayıt edilmiş o sırada yayınlanan bir tavsiye niteliğinde Ayrıca kullanıcılara ownCloud yönetici şifresi, posta sunucusu ve veritabanı kimlik bilgileri ve Object-Store/S3 erişim anahtarları gibi sırları değiştirmelerini de tavsiye ediyor 0’dan 10

    Oauth2 uygulamasındaki doğrulama koduna sağlamlaştırma önlemleri eklemenin yanı sıra ownCloud, kullanıcılara geçici çözüm olarak “Alt Alan Adlarına İzin Ver” seçeneğini devre dışı bırakmalarını önerdi 5 ”

    Çözüm olarak ownCloud, “owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo

    Güvenlik açıklarının kısa açıklaması aşağıdaki gibidir:

    • 0 (CVSS puanı: 10 6

      ikinci problem Kurbanın kullanıcı adı biliniyorsa ve kurbanın varsayılan davranış olan yapılandırılmış bir imzalama anahtarı yoksa, kimlik doğrulaması olmadan herhangi bir dosyaya erişmeyi, değiştirmeyi veya silmeyi mümkün kılar 6 210 Ağustos 2023’te yayınlandı “Anonim olarak yapılabilir ve diğer kullanıcıların oturumları çalınabilir ve yönetici kullanıcıya iletilebilir söz konusu ilk kusurdan