開源文件共享軟件 ownCloud 近日警告稱存在三個嚴(yán)重安全漏洞，其中一個漏洞可能會暴漏管理員密碼和郵件服務(wù)器憑證。

ownCloud 是一款開源文件同步和共享解決方案，個人和組織均可通過這個自托管平臺管理和共享文件。

其用戶包括企業(yè)、教育機(jī)構(gòu)、政府機(jī)構(gòu)和注重隱私的個人，他們希望數(shù)據(jù)自主可控，而不是將數(shù)據(jù)托管給第三方云存儲提供商。據(jù) OwnCloud 網(wǎng)站報(bào)告，其安裝量達(dá) 20 萬次，擁有 600 家企業(yè)客戶和 2 億用戶。

該軟件由多個庫和組件組成，共同為云存儲平臺提供一系列功能。

嚴(yán)重的數(shù)據(jù)泄露風(fēng)險

上周早些時候，該項(xiàng)目的開發(fā)團(tuán)隊(duì)發(fā)布了三個安全公告，警告稱 ownCloud 的組件中存在三個不同的漏洞，可能會嚴(yán)重影響其完整性。

第一個漏洞被追蹤為 CVE-2023-49103，CVSS v3 最高分為 10 分。該漏洞可用于在容器化部署中竊取憑證和配置信息，影響網(wǎng)絡(luò)服務(wù)器的所有環(huán)境變量。

該漏洞影響了 graphapi 0.2.0 至 0.3.0，問題源于該應(yīng)用程序?qū)Φ谌綆斓囊蕾?，該庫通過 URL 公開了 PHP 環(huán)境詳細(xì)信息，從而暴露了 ownCloud 管理員密碼、郵件服務(wù)器憑據(jù)和許可證密鑰。

官方建議的修復(fù)方法是刪除 "owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php "文件，禁用 Docker 容器中的 "phpinfo "函數(shù)，并更改可能暴露的機(jī)密，如 ownCloud 管理員密碼、郵件服務(wù)器、數(shù)據(jù)庫憑據(jù)和對象存儲/S3 訪問密鑰。

安全公告警告中強(qiáng)調(diào)稱，僅僅禁用 graphapi 應(yīng)用程序并不能消除漏洞。

此外，phpinfo 還暴露了其他各種潛在的敏感配置細(xì)節(jié)，攻擊者可利用這些細(xì)節(jié)收集系統(tǒng)信息。因此，即使 ownCloud 沒有在容器化環(huán)境中運(yùn)行，這個漏洞仍應(yīng)引起關(guān)注。

第二個漏洞的 CVSS v3 得分為 9.8，該漏洞可能影響 ownCloud 核心庫 10.6.0 至 10.13.0 版本，涉及到身份驗(yàn)證旁路問題。

如果用戶的用戶名已知且未配置簽名密鑰（默認(rèn)設(shè)置），攻擊者就有可能在未經(jīng)身份驗(yàn)證的情況下訪問、修改或刪除任何文件。

已公布的解決方案是，如果沒有為文件所有者配置簽名密鑰，則拒絕使用預(yù)簽名 URL。

第三個不太嚴(yán)重的漏洞（CVSS v3 得分：9），涉及到子域驗(yàn)證繞過問題，影響 0.6.1 以下所有版本的 oauth2 庫。

在 oauth2 應(yīng)用程序中，攻擊者可以輸入特制的重定向 URL，繞過驗(yàn)證碼，將回調(diào)重定向到攻擊者控制的域。

官方建議采取的緩解措施是加固 Oauth2 應(yīng)用程序中的驗(yàn)證代碼。公告中分享的臨時解決方法是禁用 "允許子域 "選項(xiàng)。

公告中描述的三個安全漏洞嚴(yán)重影響了 ownCloud 環(huán)境的安全性和完整性，可能導(dǎo)致敏感信息暴露、隱蔽數(shù)據(jù)盜竊、網(wǎng)絡(luò)釣魚攻擊等。

文件共享平臺的安全漏洞一直受到攻擊，CLOP 等勒索軟件組織利用這些漏洞對全球數(shù)千家公司進(jìn)行數(shù)據(jù)盜竊攻擊。

官方建議ownCloud 的管理員立即應(yīng)用建議的修復(fù)程序，以降低風(fēng)險。