Açık kaynaklı dosya paylaşım yazılımı ownCloud’un geliştiricileri, hassas bilgileri ifşa etmek ve dosyaları değiştirmek için kullanılabilecek üç kritik güvenlik açığı konusunda uyardı.
Güvenlik açıklarının kısa açıklaması aşağıdaki gibidir:
- 0.2.0’dan 0.3.0’a kadar graphapi sürümlerini etkileyen kapsayıcılı dağıtımlardaki hassas kimlik bilgilerinin ve yapılandırmanın açıklanması. (CVSS puanı: 10.0)
- 10.6.0’dan 10.13.0’a kadar olan temel sürümleri etkileyen, Önceden İmzalanmış URL’leri kullanan WebDAV Api Kimlik Doğrulamasını Atlama (CVSS puanı: 9,8)
- 0.6.1 sürümünden önce oauth2’yi etkileyen Alt Alan Adı Doğrulama Atlaması (CVSS puanı: 9,0)
Şirket, ilk kusur hakkında şunları söyledi: “‘graphapi’ uygulaması, URL sağlayan bir üçüncü taraf kitaplığına dayanıyor. Bu URL’ye erişildiğinde, PHP ortamının (phpinfo) yapılandırma ayrıntılarını açığa çıkarıyor.”
“Bu bilgiler, web sunucusunun tüm ortam değişkenlerini içerir. Konteynerli dağıtımlarda bu ortam değişkenleri, ownCloud yönetici şifresi, posta sunucusu kimlik bilgileri ve lisans anahtarı gibi hassas verileri içerebilir.”
Çözüm olarak ownCloud, “owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php” dosyasının silinmesini ve ‘phpinfo’ işlevinin devre dışı bırakılmasını öneriyor. Ayrıca kullanıcılara ownCloud yönetici şifresi, posta sunucusu ve veritabanı kimlik bilgileri ve Object-Store/S3 erişim anahtarları gibi sırları değiştirmelerini de tavsiye ediyor.
İkinci sorun, kurbanın kullanıcı adı biliniyorsa ve kurbanın varsayılan davranış olan yapılandırılmış bir imzalama anahtarı yoksa, kimlik doğrulaması olmadan herhangi bir dosyaya erişmeyi, değiştirmeyi veya silmeyi mümkün kılar.
Son olarak, üçüncü kusur, bir saldırganın “doğrulama kodunu atlayan özel hazırlanmış bir yönlendirme URL’sini geçmesine ve böylece saldırganın geri aramaları saldırgan tarafından kontrol edilen bir TLD’ye yönlendirmesine olanak tanıyan” uygunsuz erişim kontrolü durumuyla ilgilidir.
Oauth2 uygulamasındaki doğrulama koduna sağlamlaştırma önlemleri eklemenin yanı sıra ownCloud, kullanıcılara geçici çözüm olarak “Alt Alan Adlarına İzin Ver” seçeneğini devre dışı bırakmalarını önerdi.
Açıklama, CrushFTP çözümünde (CVE-2023-43177) kimliği doğrulanmamış bir saldırgan tarafından dosyalara erişmek, rastgele programlar çalıştırmak için silah haline getirilebilecek kritik bir uzaktan kod yürütme güvenlik açığı için bir kavram kanıtlama (PoC) istismarının yayımlanmasıyla geldi. ana bilgisayarda ve düz metin şifreleri edinin.
Sorun, 10 Ağustos 2023’te yayımlanan CrushFTP 10.5.2 sürümünde giderildi.
CrushFTP o sırada yayınlanan bir danışma belgesinde “Bu güvenlik açığı kritiktir, çünkü herhangi bir kimlik doğrulaması GEREKTİRMEZ” dedi. “Anonim olarak yapılabilir ve diğer kullanıcıların oturumları çalınabilir ve yönetici kullanıcıya iletilebilir.”