Home Blogs 脅威に関するインテルのアップデート:ownCloudの脆弱性
Applications

脅威に関するインテルのアップデート:ownCloudの脆弱性

About The Author

Outline

2023年11月、ownCloudはコア(CVE-2023-49105)、OAuth (CVE-2023-49104)、およびgraphapi (CVE-2023-49103)ライブラリに3つの大きな脆弱性を発表しました21。

Edgio Security製品スイートは、仮想パッチを有効にすることでゼロデイ修復を迅速化し、進化する脅威に先んじて対応します。 弊社はデフォルトのルールを使用してこれらの脅威からお客様を保護しますが、影響を受けるすべてのデバイスについても、ベンダーの指示に従って推奨されるアクションを実行することを強くお勧めします。 ownCloudインスタンスの保護に関して懸念がある場合、または追加のサポートが必要な場合は、Edgio SOCに電子メールtickets@edg.ioでサポートを依頼して ください。

推奨事項:

Disclosure of Sensitive Credentials and Configuration in Containerized Deployments (CVE-2023-49103):

  • CVSSスコア:10.0クリティカル
  • 影響: この重大な脆弱性は、0.2.1より前のバージョン0.2.xおよび0.3.1より前のバージョン0.3.xに影響を与える。 ownCloud管理者パスワード、メールサーバーの資格情報、ライセンスキーなどの機密データを含む、PHP環境の構成の詳細を公開します。 単にgraphapiアプリを無効にしても、この脆弱性は排除されません。
  • アクション: owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.phpファイルを削除してください。 docker-containersのphpinfo関数を無効にします。 ownCloud管理者パスワード、メールサーバー資格情報、データベース資格情報、およびObject-Store/S3アクセスキーを変更します。

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49103

https://owncloud.com/security-advisories/disclosure-of-sensitive-credentials-and-configuration-in-containerized-deployments/

サブドメイン検証バイパス(CVE-2023-49104):

  • CVSSスコア:8.7高
  • 影響: この重大な脆弱性は、0.6.1より前のバージョンのownCloud/OAuth2に影響を与える。 攻撃者は、リダイレクトURLの検証をバイパスし、「サブドメインを許可」機能が有効になっている場合に、攻撃者によって制御される代替トップレベルドメインにコールバックをリダイレクトする特別に細工されたredirect-URLを渡すことができます。
  • アクション: OAuth2アプリで属性検証コードを強化します。 回避策として、「サブドメインを許可する」オプションを無効にして、脆弱性から保護することができます。

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49104

https://owncloud.com/security-advisories/subdomain-validation-bypass/

事前署名URLを使用したWebDAV API認証バイパス(CVE-2023-49105):

  • CVSSスコア:9.8クリティカル
  • 影響: この高リスクの問題は、ownCloud/coreバージョン10.6.0から10.13.0に影響します。 攻撃者は、被害者のユーザ名を知っていて、被害者に署名キーが設定されていない場合、認証なしで任意のファイルにアクセス、変更、または削除することができます。
  • アクション: ファイルの所有者に「signing-key」が構成されていない場合は、事前署名されたURLの使用を拒否します。

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49105

https://owncloud.com/security-advisories/webdav-api-authentication-bypass-using-pre-signed-urls/

ownCloudのユーザーと管理者は、セキュリティアドバイザリを定期的に確認し、システムを保護するための推奨措置を実装することが不可欠です。