GigaOM Radar Edge Platform Leader & Outperformer 2024 | 
2023년 11월 21일 ownCloud는 핵심(CVE-2023-49105), OAuth(CVE-2023-49104) 및 graphapi(CVE-2023-49103) 라이브러리의 세 가지 주요 취약점을 발표했습니다.
Edgio Security 제품군은 가상 패치를 지원하여 제로데이 문제 해결을 신속하게 처리할 수 있으며, 이러한 진화하는 위협에 대비할 수 있습니다. Microsoft는 기본 규칙을 통해 이러한 위협으로부터 고객을 보호하지만 영향을 받는 모든 장치에 대해 공급업체 지침에 따라 권장되는 조치를 취할 것을 적극 권장합니다. ownCloud 인스턴스 보호에 대한 우려가 있거나 추가 지원이 필요한 경우 Edgio SOC에 이메일(tickets@edg.io 문의하십시오.
권장 사항:
컨테이너화된 배포에서 중요한 자격 증명 및 구성 공개(CVE-2023-49103):
- CVSS 점수: 10.0 긴급
- 영향: 이 심각한 취약점은 ownCloud/graphapi 버전 0.2.x 0.2.1 이전 및 0.3.x 0.3.1 이전 버전에 영향을 미칩니다. ownCloud 관리자 암호, 메일 서버 자격 증명, 라이센스 키 등의 중요한 데이터를 포함하여 PHP 환경의 구성 세부 정보를 표시합니다. 단순히 graphhapi 앱을 비활성화해도 취약점이 제거되지는 않습니다.
- 작업: ownCloud/apps/graphhapi/vendor/microsoft/microsoft-graph/tests/getPhpInfo.php 파일을 삭제합니다. docker-containers에서 phpinfo 기능을 비활성화합니다. ownCloud 관리자 암호, 메일 서버 자격 증명, 데이터베이스 자격 증명 및 Object-Store/S3 액세스 변경 key.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49103
하위 도메인 유효성 검사 우회(CVE-2023-49104):
- CVSS 점수: 8.7 높음
- 영향: 이 심각한 취약점은 ownCloud/OAuth2 0.6.1 이전 버전에 영향을 미칩니다. “하위 도메인 허용” 기능이 활성화된 경우 공격자는 특수하게 조작된 리디렉션 URL을 전달하여 리디렉션 URL 유효성 검사를 우회하고 공격자가 제어하는 대체 최상위 도메인으로 콜백을 리디렉션할 수 있습니다.
- 작업: OAuth2 앱에서 특성 유효성 검사 코드를 강화합니다. 이 문제를 해결하려면 “하위 도메인 허용” 옵션을 비활성화하여 vulnerability로부터 보호할 수 있습니다.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49104
https://owncloud.com/security-advisories/subdomain-validation-bypass/
사전 서명된 URL을 사용한 WebDAV API 인증 우회(CVE-2023-49105):
- CVSS 점수: 9.8 심각
- 영향: 이 고위험 문제는 ownCloud/코어 버전 10.6.0 ~ 10.13.0에 영향을 줍니다. 공격자가 피해자의 사용자 이름을 알고 있고 피해자가 서명 키를 구성하지 않은 경우 인증 없이 파일을 액세스, 수정 또는 삭제할 수 있습니다.
- 조치: files의 소유자에 대해 “signing-key”가 구성되지 않은 경우 사전 서명된 URL 사용을 거부합니다.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-49105
https://owncloud.com/security-advisories/webdav-api-authentication-bypass-using-pre-signed-urls/
ownCloud의 사용자와 관리자는 보안 권고를 정기적으로 검토하고 시스템을 보호하기 위한 권장 조치를 구현하는 것이 중요합니다.
