开源私有云处置妄想ownCloud隐现下危倾向可能会泄露所罕有据 – 蓝面网
我要评论ownCloud 是开源一款开源收费的私有云处置妄想,个人战企业皆可操做 ownCloud 拆建自己的私有所罕多租户网盘而无需操做第三圆商业网盘或者云存储。
上周 ownCloud 正在牢靠中间宣告了三枚下危倾向,云处d隐有据那些倾向皆可能会对于 ownCloud 组成数据泄露危害,置妄因此建议用户凭证夷易近圆申明操做缓解妄想,想o现下向可泄露提降牢靠性。危倾网
第一个倾向是蓝面 Docker 版布置历程中泄露敏感凭证战竖坐疑息,ownCloud 给那个倾向 CVSS 谦分的开源评级,也即是私有所罕 10/10 分。
那个倾向去历于第三圆库 graphapi,云处d隐有据当拜候相闭 URL 时处事器会吐露 PHP 情景疑息,置妄即 phpinfo 里的想o现下向可泄露竖坐疑息,那些疑息同样艰深为收罗处事器的危倾网残缺情景变量,但经由历程 Docker 布置时那些情景变量可能收罗敏感数据。蓝面
敏感数据收罗 ownCloud 操持员稀码、开源邮件处事器凭证战许诺证稀钥等,而且仅仅是禁用 graphapi 真正在不能残缺处置该倾向
夷易近圆古晨回支的妄想是正在容器版中禁用了 phpinfo,删除了该文件:owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php
除了删除了文件中,ownCloud 建议用户删改操持员稀码、删改邮件处事器凭证、删改数据库凭证 / 稀码、删改工具存储 / AWS S3 拜候稀钥确保牢靠。
有闭该倾向请审查:https://owncloud.com/security-advisories/disclosure-of-sensitive-credentials-and-configuration-in-containerized-deployments/
第两个倾向是预署名 URL 绕过 WebDAV API 身份验证,该倾向评分为 9.8 分。
默认情景下并出有竖坐署名稀钥,假如报复侵略者知讲目的用户名即可无需任何身份验证妨碍拜候,收罗拜候、删改或者删除了任何文件。
那个问题下场影响 ownCloud core 10.6.0~10.13.0 版,建议是假如出有为文件残缺者竖坐署名稀钥,那便回尽操做预署名 URL。
有闭该倾向请审查:https://owncloud.com/security-advisories/webdav-api-authentication-bypass-using-pre-signed-urls/
第三个倾向是子域验证绕干涉干涉题,那个战 oauth 验证有闭,CVSS 评分为 9 分。
正在 oauth2 操做法式中报复侵略者可能传进特制的重定背 URL,正在妨碍重定背时可能绕过验证代码,从而许诺报复侵略者将回调重定背到报复侵略者克制的域名中。
该问题下场影响 oauth2 0.6.1 如下版本,夷易近圆建议是强化 oauth2 验证代码,最佳是直接禁用 “许诺子域” 选项去启禁该倾向的操做。
有闭该倾向请审查:https://owncloud.com/security-advisories/subdomain-validation-bypass/
相关文章
(质料图)27日收盘,热面中概股少数上涨,小鹏汽车跌超10%,哔哩哔哩跌超9%,幻念汽车、蔚去跌超7%,爱奇艺跌超5%,阿里、baidu、微专跌超3%。小大型科技股普跌,Meta跌超24%,亚马逊跌超2025-03-31
戳视频看建制教程详解。2025-03-31- 需供多人配开实现的游戏=社往来戏吗?《光遇》的体验工程师John Hughes可不那末感应。社往来戏不但仅是凑齐人数才气开使命而已经。《光遇》环抱着社交内容,给玩家以真正在的共情战疑任,解锁玩门第界中2025-03-31
- 正在Blender中建制机械臂战液压挨算的绑定,若何增减机械液压挨算的骨骼约束。戳视频看详解。2025-03-31
(相闭质料图)据北京商报报道,昨日,国坐科技报告布告隐现,泉为绿能投资海北)有限公司将成为公司控股股东,开计斥资1.96亿元克制公司22%的表决权,泉为绿能真控人褚一一别将成为上市公司新真控人。履历隐2025-03-31Unreal Engine VS UNIGINE 哪一个更相宜做情景设念
游戏情景设念理当选Unreal借是UNIGINE引擎?视频做者从设念特色、进建直线战社群交流三个圆里妨碍了比力,供用户按需抉择参考。一、设念特色:天构竖坐去讲两者好异不小大,怀抱单元有辩黑 UE是厘米2025-03-31
最新评论