The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязвимости

17.05.2013 17:54

Представлены корректирующие выпуски проекта ownCloud 5.0.6, 4.5.11 и 4.0.15, в рамках которого развивается система для организации хранения, синхронизации и обмена данными, размещёнными на внешних серверах, отличающаяся предоставлением пользователю полного контроля над своими данными за счет установки ownCloud на своих серверах. В новых выпусках устранено десять уязвимостей, среди которых имеются проблемы критического характера.

В частности, присутствует проблема, позволяющая аутентифицированному удалённому пользователю выполнить произвольный PHP-код на сервере, путём загрузки файла с расширением php и последующим прямым обращением к нему. Также исправлено несколько уязвимостей, которые дают возможность осуществить подстановку SQL-запроса через манипуляции с различными параметрами запросов. Одна из проблем позволяет организовать CSRF-атаку для организации обращения к API с правами администратора. Уязвимость в реализации календаря-планировщика даёт возможность получить полный доступ к календарям других пользователей.

  1. Главная ссылка к новости (http://mailman.owncloud.org/pi...)
  2. OpenNews: Релиз ownCloud 5, платформы для создания облачных хранилищ в стиле Dropbox
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/36956-owncloud
Ключевые слова: owncloud
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (21) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, wiseman (ok), 18:03, 17/05/2013 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +10 +/
    > выполнить произвольный PHP-код на сервере, путём загрузки файла с расширением php и последующим прямым обращением к нему

    Это шедевр

     
     
  • 2.7, Аноним (-), 20:19, 17/05/2013 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    eval программисты
     
  • 2.14, Аноним (-), 12:39, 18/05/2013 [^] [^^] [^^^] [ответить]  
    		• +/
    ownClown
     
     
  • 3.17, Аноним (-), 21:31, 20/05/2013 [^] [^^] [^^^] [ответить]  
    		• +/
    > ownClown

    pwnCloud.

     

  • 1.2, бедный буратино (ok), 18:07, 17/05/2013 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –2 +/
    > Это шедевр

    Это то, что в php будет всегда. Пока в конфигах веб-сервера будут прописывать .php, а не строго конкретные точки входа

     
     
  • 2.5, Аноним (-), 19:19, 17/05/2013 [^] [^^] [^^^] [ответить]  
    		• +/
    А как насчет эпической дырки в moin-moin, позволяющей выполнить произвольный код? Что-то питон этим индусам не помог от отсутствия мозгов.
     

  • 1.3, бедный буратино (ok), 18:08, 17/05/2013 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –2 +/
    Кстати, скоро, наверное, и подтянутся новости "в GAE обнаружена уязвимость, позволяющая порулить google-м".
     
     
  • 2.6, Аноним (-), 19:20, 17/05/2013 [^] [^^] [^^^] [ответить]  
    		• +/
    > Кстати, скоро, наверное, и подтянутся новости "в GAE обнаружена уязвимость, позволяющая
    > порулить google-м".

    Ага, в moin-moin на бидоне нашли же. А остальные питонисты ничуть не лучше пишут - они надеятся что за них вумный ЯП подумает, и вообще, если постоянно пинками в стойло ставят - значит накосячить не дадут :)

     
     
  • 3.11, бедный буратино (ok), 03:10, 18/05/2013 [^] [^^] [^^^] [ответить]  
    		• +/
    > Ага, в moin-moin на бидоне нашли же.

    Если ты встретишь на дороге шаолиньского монаха, ударь его по лицу.
    Если это будет проходимец в одежде шаолиньского монаха, то так ему и надо!
    Если это будет ученик шаолиньских монахов, он будет благодарен тебе за урок.

    Если это будет настоящий шаолиньский монах, ты ему по лицу не попадешь.

     
     
  • 4.15, Аноним (-), 21:27, 20/05/2013 [^] [^^] [^^^] [ответить]  
    		• +/
    > Если это будет настоящий шаолиньский монах, ты ему по лицу не попадешь.

    Как видишь, этим "монахам" по лицу все-таки попали. Ломом. Так что поаккуратнее там с рассказами о их крутоте.

     

  • 1.4, Аноним (-), 19:10, 17/05/2013 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Клиент под Android, которым они барыжат на Google Play, так и не работает? Или уже починили?

    Довольно интересный способ зарабатывания денег. Продавать клиента к своей поделке, который с ней не соединяется.

     
     
  • 2.8, Аноним (-), 20:23, 17/05/2013 [^] [^^] [^^^] [ответить]  
    		• +/
    Вы это сейчас серьёзно ?
     
     
  • 3.12, Аноним (-), 09:00, 18/05/2013 [^] [^^] [^^^] [ответить]  
    		• +/
    > Вы это сейчас серьёзно ?

    Конечно. В Google Play стоимость клиента под андроид ~30 руб. - https://play.google.com/store/apps/details?id=com.owncloud.android

    Теперь зайдите на google.com и наберите в форме поиска: "android owncloud sync failed".

     
     
  • 4.16, Аноним (-), 21:30, 20/05/2013 [^] [^^] [^^^] [ответить]  
    		• +/
    Для гугля это совершенно нормально - софт для эппла и ведроида пишет в 99% случаев обдолбаное школие, которое хочет ровно одного: т.к. их величества изучали "этот уникальный, ни с чем не совместимый крап", затраты на это время надлежит отбить. И чем быстрее - тем лучше. Так рождается тонна кривого, убогого, глючного, тормозного и в целом отвратительного софта. За который тем не менее вполне серьезно хотят бабла.
     
     
  • 5.21, Аноним (-), 19:50, 21/05/2013 [^] [^^] [^^^] [ответить]  
    		• +/
    Да ладно если бы этот клиент был от школоты, но ведь в качестве разработчика клиента под Android указана компания ownCloud, Inc.

    Честно скажу, такого поворота я никак не ожидал, когда покупал этого типа официального клиента. Дело не в 30 рублях, а просто сам факт такого наглого нае....ва поверг в шок.

     

  • 1.9, Аноним (-), 20:27, 17/05/2013 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Ещё одна проблема о которой лучше знать: в «ownCloud» поддержка WebDAV реализована на основе «SabreDAV», а эта штука использует «красивые» ссылки типа /owncloud/files/webdav.php/Documents/info.php со всеми вытекающими последствиями. Уже давно в «Nginx» прописал на такое выдавать 404.
     
     
  • 2.20, Аноним (-), 19:26, 21/05/2013 [^] [^^] [^^^] [ответить]  
    		• +/
    Это вы нам тут свою религию красоты урлов пытаетесь проповедовать? А почему вы думаете что это не ваши проблемы а чьи-то еще?
     

  • 1.10, Anonim (??), 22:11, 17/05/2013 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Стремно все это в интернет выставлять.
    Можно какой CalDAV сервер на компе заюзать с андроида по ssh? В удобном и автоматическом режиме.
     
     
  • 2.13, анон (?), 09:25, 18/05/2013 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Baikal - минимальная надстройка-админка над Sabre
     

  • 1.18, Аноним67 (?), 09:14, 21/05/2013 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    А мне не удаётся предоставить другим пользователям шару ни  к одной из своих папок (хотя я админ), при расшаривании она других пользователей просто не видит.  Без этого смысла в системе не вижу, а очень бы хотелось такую штуку завести на работе. Может я что-то не так делаю? Помогите, пожалуйста.
     
  • 1.19, XoRe (ok), 18:44, 21/05/2013 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Рекомендую выносить папку data за пределы корня сайта
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру