Am 21. November 2023 kündigte ownCloud drei große Schwachstellen in ihren Core-Bibliotheken (CVE-2023-49105), oauth (CVE-2023-49104) und Graphapi (CVE-2023-49103) an.
Die Edgio Security-Produktsuite kann die Zero-Day-Abhilfe beschleunigen, indem sie virtuelles Patching ermöglicht, um diesen sich entwickelnden Bedrohungen einen Schritt voraus zu sein. Obwohl wir unseren Kunden durch unsere Standardregeln Schutz vor diesen Bedrohungen bieten, empfehlen wir dringend, auch für alle betroffenen Geräte die empfohlenen Maßnahmen gemäß Herstelleranweisungen zu ergreifen. Sollten Sie Bedenken haben oder zusätzliche Unterstützung beim Schutz Ihrer ownCloud-Instanz benötigen, wenden Sie sich an Edgio SOC E-Mail tickets@edg.io.
Empfehlungen:
Offenlegung sensibler Zugangsdaten und Konfiguration in Containerisierten Deployments (CVE-2023-49103):
- CVSS-Score: 10,0 KRITISCH
- Auswirkung: Diese kritische Sicherheitsanfälligkeit betrifft ownCloud/graphapi-Versionen 0,2.x vor 0.2.1 und 0,3.x vor 0,3.1. Sie stellt Konfigurationsdetails der PHP-Umgebung bereit, einschließlich vertraulicher Daten wie das ownCloud-Administratorkennwort, Anmeldeinformationen des Mailservers und Lizenzschlüssel Durch die einfache Deaktivierung der graphapi-App wird die Sicherheitsanfälligkeit nicht beseitigt.
- Maßnahme: Löschen Sie die Datei owncloud/Apps/graphapi/Vendor/microsoft/microsoft-Graph/Tests/GetPhpInfo.php. Deaktivieren Sie die Funktion phpinfo in Docker-Containern. Ändern Sie das ownCloud-Administratorkennwort, die Zugangsdaten für den E-Mail-Server, die Zugangsdaten für die Datenbank und den Object-Store/S3-Zugriff key.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49103
Umgehung der Subdomain-Validierung (CVE-2023-49104):
- CVSS-Score: 8,7 HOCH
- Auswirkung: Diese kritische Sicherheitsanfälligkeit betrifft ownCloud/oauth2-Versionen vor 0,6.1. Es ermöglicht einem Angreifer, eine speziell gestaltete Umleitungs-url zu übergeben, die jede Überprüfung der Umleitungs-URL umgeht und Callbacks an eine alternative Domäne der obersten Ebene umleitet, die vom Angreifer kontrolliert wird, wenn die Funktion „Unterdomänen zulassen“ aktiviert ist.
- Maßnahme: Härten Sie den Attributvalidierungscode in der oauth2-App aus. Als Problemumgehung kann die Option „Subdomains zulassen“ deaktiviert werden, um den Schutz vor dem vulnerability zu gewährleisten.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49104
https://owncloud.com/security-advisories/subdomain-validation-bypass/
Umgehung der WebDAV-API-Authentifizierung mit vorsignierten URLs (CVE-2023-49105):
- CVSS-Score: 9,8 KRITISCH
- Auswirkung: Dieses Problem mit hohem Risiko betrifft die ownCloud/Core-Versionen 10.6.0 bis 10.13.0. Ein Angreifer kann ohne Authentifizierung auf jede Datei zugreifen, diese ändern oder löschen, wenn er den Benutzernamen des Opfers kennt und für das Opfer kein Signaturschlüssel konfiguriert ist.
- Maßnahme: Verweigern Sie die Verwendung vorsignierter URLs, wenn „Signing-key“ nicht für den Eigentümer des files konfiguriert ist.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49105
https://owncloud.com/security-advisories/webdav-api-authentication-bypass-using-pre-signed-urls/
Benutzer und Administratoren von ownCloud müssen regelmäßig Sicherheitsempfehlungen überprüfen und vorgeschlagene Maßnahmen zum Schutz ihrer Systeme implementieren.