OwnCloud kritikus sérülékenységei
A ownCloud november 21-én kiadott egy figyelmeztetést, amelyben egy új sebezhetőséget, a CVE-2023-49103-at tette közzé. A sebezhetőség lehetővé teszi a támadók számára, hogy hozzáférjenek az admin jelszavakhoz. A sebezhetőség kihasználásához a támadó a “graphapi” alkalmazással hozzáfér a “phpinfo” kimenetéhez. Ha az ownCloud telepítése konténerben fut, akkor lehetővé teszi a hozzáférést az admin jelszavakhoz, a levelezőszerver hitelesítő adataihoz és a licenckulcsokhoz.
A sebezhetőség a “graphapi” alkalmazás hibájából adódik, amely az ownCloud 0.2.0-0.3.0 verzióiban van jelen. Ez az alkalmazás egy harmadik féltől származó könyvtárat használ, amely feltárja a PHP-környezet érzékeny konfigurációit, beleértve a jelszavakat és kulcsokat. Az alkalmazás letiltása nem oldja meg teljesen a problémát, és még a nem konténerizált ownCloud-példányok is veszélyben vannak. A 2023 februárja előtti Docker konténerek nem érintettek.
A gyártó nyilvánosságra hozatalában felsorolt kárenyhítési információk között szerepelnek olyan manuális erőfeszítések, mint a könyvtár törlése és az esetlegesen elért titkok megváltoztatása.