Açık kaynaklı dosya paylaşım yazılımı ownCloud’un geliştiricileri, hassas bilgileri ifşa etmek ve dosyaları değiştirmek için kullanılabilecek üç kritik güvenlik açığı konusunda uyardı.
Güvenlik açıklarının kısa açıklaması aşağıdaki gibidir:
- 0.2.0’dan 0.3.0’a kadar graphapi sürümlerini etkileyen kapsayıcılı dağıtımlardaki hassas kimlik bilgilerinin ve yapılandırmanın açıklanması. (CVSS puanı: 10.0)
- 10.6.0’dan 10.13.0’a kadar olan temel sürümleri etkileyen, Önceden İmzalanmış URL’leri kullanan WebDAV Api Kimlik Doğrulamasını Atlama (CVSS puanı: 9,8)
- 0.6.1 sürümünden önce oauth2’yi etkileyen Alt Alan Adı Doğrulama Atlaması (CVSS puanı: 9,0)
Şirket, “‘graphapi’ uygulaması, URL sağlayan bir üçüncü taraf kitaplığına dayanıyor. Bu URL’ye erişildiğinde, PHP ortamının (phpinfo) yapılandırma ayrıntılarını ortaya çıkarıyor” dedi. söz konusu ilk kusurdan.
“Bu bilgiler, web sunucusunun tüm ortam değişkenlerini içerir. Konteynerli dağıtımlarda bu ortam değişkenleri, ownCloud yönetici şifresi, posta sunucusu kimlik bilgileri ve lisans anahtarı gibi hassas verileri içerebilir.”
Çözüm olarak ownCloud, “owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php” dosyasının silinmesini ve ‘phpinfo’ işlevinin devre dışı bırakılmasını öneriyor. Ayrıca kullanıcılara ownCloud yönetici şifresi, posta sunucusu ve veritabanı kimlik bilgileri ve Object-Store/S3 erişim anahtarları gibi sırları değiştirmelerini de tavsiye ediyor.
ikinci problem Kurbanın kullanıcı adı biliniyorsa ve kurbanın varsayılan davranış olan yapılandırılmış bir imzalama anahtarı yoksa, kimlik doğrulaması olmadan herhangi bir dosyaya erişmeyi, değiştirmeyi veya silmeyi mümkün kılar.
Son olarak, üçüncü kusur Bir saldırganın “doğrulama kodunu atlayan ve böylece saldırganın geri aramaları kendisi tarafından kontrol edilen bir TLD’ye yeniden yönlendirmesine olanak tanıyan özel hazırlanmış bir yönlendirme URL’si iletmesine” olanak tanıyan uygunsuz erişim kontrolü durumuyla ilgilidir.
Oauth2 uygulamasındaki doğrulama koduna sağlamlaştırma önlemleri eklemenin yanı sıra ownCloud, kullanıcılara geçici çözüm olarak “Alt Alan Adlarına İzin Ver” seçeneğini devre dışı bırakmalarını önerdi.
Açıklama, bir kavram kanıtlama (PoC) istismarının gerçekleştirilmesiyle geldi piyasaya sürülmüş CrushFTP çözümündeki kritik bir uzaktan kod yürütme güvenlik açığı için (CVE-2023-43177) kimliği doğrulanmamış bir saldırgan tarafından dosyalara erişmek, ana bilgisayarda rastgele programlar çalıştırmak ve düz metin parolaları almak için silah olarak kullanılabilir.
Sorun CrushFTP’de giderildi sürüm 10.5.210 Ağustos 2023’te yayınlandı.
CrushFTP, “Bu güvenlik açığı kritiktir çünkü herhangi bir kimlik doğrulaması gerektirmez” kayıt edilmiş o sırada yayınlanan bir tavsiye niteliğinde. “Anonim olarak yapılabilir ve diğer kullanıcıların oturumları çalınabilir ve yönetici kullanıcıya iletilebilir.”