3 Kritik Güvenlik Açıkları ownCloud Kullanıcılarını Veri İhlallerine Maruz Bırakıyor - Dünyadan Güncel Teknoloji Haberleri

3 Kritik Güvenlik Açıkları ownCloud Kullanıcılarını Veri İhlallerine Maruz Bırakıyor - Dünyadan Güncel Teknoloji Haberleri
0’dan 10 0)
  • 10

    Oauth2 uygulamasındaki doğrulama koduna sağlamlaştırma önlemleri eklemenin yanı sıra ownCloud, kullanıcılara geçici çözüm olarak “Alt Alan Adlarına İzin Ver” seçeneğini devre dışı bırakmalarını önerdi söz konusu ilk kusurdan

    “Bu bilgiler, web sunucusunun tüm ortam değişkenlerini içerir

    Açıklama, bir kavram kanıtlama (PoC) istismarının gerçekleştirilmesiyle geldi piyasaya sürülmüş CrushFTP çözümündeki kritik bir uzaktan kod yürütme güvenlik açığı için (CVE-2023-43177) kimliği doğrulanmamış bir saldırgan tarafından dosyalara erişmek, ana bilgisayarda rastgele programlar çalıştırmak ve düz metin parolaları almak için silah olarak kullanılabilir 1 sürümünden önce oauth2’yi etkileyen Alt Alan Adı Doğrulama Atlaması (CVSS puanı: 9,0)

  • Şirket, “‘graphapi’ uygulaması, URL sağlayan bir üçüncü taraf kitaplığına dayanıyor 3 0’dan 0


    25 Kasım 2023Haber odasıVeri Güvenliği / Güvenlik Açığı

    Açık kaynaklı dosya paylaşım yazılımı ownCloud’un geliştiricileri, hassas bilgileri ifşa etmek ve dosyaları değiştirmek için kullanılabilecek üç kritik güvenlik açığı konusunda uyardı (CVSS puanı: 10

    Güvenlik açıklarının kısa açıklaması aşağıdaki gibidir:

    • 0 6 0’a kadar graphapi sürümlerini etkileyen kapsayıcılı dağıtımlardaki hassas kimlik bilgilerinin ve yapılandırmanın açıklanması Konteynerli dağıtımlarda bu ortam değişkenleri, ownCloud yönetici şifresi, posta sunucusu kimlik bilgileri ve lisans anahtarı gibi hassas verileri içerebilir 0’a kadar olan temel sürümleri etkileyen, Önceden İmzalanmış URL’leri kullanan WebDAV Api Kimlik Doğrulamasını Atlama (CVSS puanı: 9,8)
    • 0

      Son olarak, üçüncü kusur Bir saldırganın “doğrulama kodunu atlayan ve böylece saldırganın geri aramaları kendisi tarafından kontrol edilen bir TLD’ye yeniden yönlendirmesine olanak tanıyan özel hazırlanmış bir yönlendirme URL’si iletmesine” olanak tanıyan uygunsuz erişim kontrolü durumuyla ilgilidir 6 Ayrıca kullanıcılara ownCloud yönetici şifresi, posta sunucusu ve veritabanı kimlik bilgileri ve Object-Store/S3 erişim anahtarları gibi sırları değiştirmelerini de tavsiye ediyor 5

      ikinci problem Kurbanın kullanıcı adı biliniyorsa ve kurbanın varsayılan davranış olan yapılandırılmış bir imzalama anahtarı yoksa, kimlik doğrulaması olmadan herhangi bir dosyaya erişmeyi, değiştirmeyi veya silmeyi mümkün kılar “Anonim olarak yapılabilir ve diğer kullanıcıların oturumları çalınabilir ve yönetici kullanıcıya iletilebilir

      CrushFTP, “Bu güvenlik açığı kritiktir çünkü herhangi bir kimlik doğrulaması gerektirmez” kayıt edilmiş o sırada yayınlanan bir tavsiye niteliğinde php” dosyasının silinmesini ve ‘phpinfo’ işlevinin devre dışı bırakılmasını öneriyor 2 ”

      Çözüm olarak ownCloud, “owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo 210 Ağustos 2023’te yayınlandı ”



      siber-2

      Sorun CrushFTP’de giderildi sürüm 10 13 Bu URL’ye erişildiğinde, PHP ortamının (phpinfo) yapılandırma ayrıntılarını ortaya çıkarıyor” dedi