В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязвимости

17.05.2013 17:54

Представлены корректирующие выпуски проекта ownCloud 5.0.6, 4.5.11 и 4.0.15, в рамках которого развивается система для организации хранения, синхронизации и обмена данными, размещёнными на внешних серверах, отличающаяся предоставлением пользователю полного контроля над своими данными за счет установки ownCloud на своих серверах. В новых выпусках устранено десять уязвимостей, среди которых имеются проблемы критического характера.

В частности, присутствует проблема, позволяющая аутентифицированному удалённому пользователю выполнить произвольный PHP-код на сервере, путём загрузки файла с расширением php и последующим прямым обращением к нему. Также исправлено несколько уязвимостей, которые дают возможность осуществить подстановку SQL-запроса через манипуляции с различными параметрами запросов. Одна из проблем позволяет организовать CSRF-атаку для организации обращения к API с правами администратора. Уязвимость в реализации календаря-планировщика даёт возможность получить полный доступ к календарям других пользователей.

исправить +2 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/36956-owncloud

Ключевые слова: owncloud

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (21)

1.1, wiseman (ok), 18:03, 17/05/2013 [ответить] [﹢﹢﹢] [ · · · ] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+10 +/–
> выполнить произвольный PHP-код на сервере, путём загрузки файла с расширением php и последующим прямым обращением к нему Это шедевр

2.7, Аноним (-), 20:19, 17/05/2013 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+1 +/–
eval программисты

2.14, Аноним (-), 12:39, 18/05/2013 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
ownClown

3.17, Аноним (-), 21:31, 20/05/2013 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
> ownClown pwnCloud.

1.2, бедный буратино (ok), 18:07, 17/05/2013 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	–2 +/–
> Это шедевр Это то, что в php будет всегда. Пока в конфигах веб-сервера будут прописывать .php, а не строго конкретные точки входа

2.5, Аноним (-), 19:19, 17/05/2013 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
А как насчет эпической дырки в moin-moin, позволяющей выполнить произвольный код? Что-то питон этим индусам не помог от отсутствия мозгов.

1.3, бедный буратино (ok), 18:08, 17/05/2013 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	–2 +/–
Кстати, скоро, наверное, и подтянутся новости "в GAE обнаружена уязвимость, позволяющая порулить google-м".

2.6, Аноним (-), 19:20, 17/05/2013 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
> Кстати, скоро, наверное, и подтянутся новости "в GAE обнаружена уязвимость, позволяющая > порулить google-м". Ага, в moin-moin на бидоне нашли же. А остальные питонисты ничуть не лучше пишут - они надеятся что за них вумный ЯП подумает, и вообще, если постоянно пинками в стойло ставят - значит накосячить не дадут :)

3.11, бедный буратино (ok), 03:10, 18/05/2013 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]

+/–

> Ага, в moin-moin на бидоне нашли же.

Если ты встретишь на дороге шаолиньского монаха, ударь его по лицу.
Если это будет проходимец в одежде шаолиньского монаха, то так ему и надо!
Если это будет ученик шаолиньских монахов, он будет благодарен тебе за урок.

Если это будет настоящий шаолиньский монах, ты ему по лицу не попадешь.

4.15, Аноним (-), 21:27, 20/05/2013 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
> Если это будет настоящий шаолиньский монах, ты ему по лицу не попадешь. Как видишь, этим "монахам" по лицу все-таки попали. Ломом. Так что поаккуратнее там с рассказами о их крутоте.

1.4, Аноним (-), 19:10, 17/05/2013 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Клиент под Android, которым они барыжат на Google Play, так и не работает? Или уже починили? Довольно интересный способ зарабатывания денег. Продавать клиента к своей поделке, который с ней не соединяется.

2.8, Аноним (-), 20:23, 17/05/2013 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Вы это сейчас серьёзно ?

3.12, Аноним (-), 09:00, 18/05/2013 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]

+/–

> Вы это сейчас серьёзно ?

Конечно. В Google Play стоимость клиента под андроид ~30 руб. - https://play.google.com/store/apps/details?id=com.owncloud.android

Теперь зайдите на google.com и наберите в форме поиска: "android owncloud sync failed".

4.16, Аноним (-), 21:30, 20/05/2013 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Для гугля это совершенно нормально - софт для эппла и ведроида пишет в 99% случаев обдолбаное школие, которое хочет ровно одного: т.к. их величества изучали "этот уникальный, ни с чем не совместимый крап", затраты на это время надлежит отбить. И чем быстрее - тем лучше. Так рождается тонна кривого, убогого, глючного, тормозного и в целом отвратительного софта. За который тем не менее вполне серьезно хотят бабла.

5.21, Аноним (-), 19:50, 21/05/2013 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Да ладно если бы этот клиент был от школоты, но ведь в качестве разработчика клиента под Android указана компания ownCloud, Inc. Честно скажу, такого поворота я никак не ожидал, когда покупал этого типа официального клиента. Дело не в 30 рублях, а просто сам факт такого наглого нае....ва поверг в шок.

1.9, Аноним (-), 20:27, 17/05/2013 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Ещё одна проблема о которой лучше знать: в «ownCloud» поддержка WebDAV реализована на основе «SabreDAV», а эта штука использует «красивые» ссылки типа /owncloud/files/webdav.php/Documents/info.php со всеми вытекающими последствиями. Уже давно в «Nginx» прописал на такое выдавать 404.

2.20, Аноним (-), 19:26, 21/05/2013 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Это вы нам тут свою религию красоты урлов пытаетесь проповедовать? А почему вы думаете что это не ваши проблемы а чьи-то еще?

1.10, Anonim (??), 22:11, 17/05/2013 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Стремно все это в интернет выставлять. Можно какой CalDAV сервер на компе заюзать с андроида по ssh? В удобном и автоматическом режиме.

2.13, анон (?), 09:25, 18/05/2013 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+1 +/–
Baikal - минимальная надстройка-админка над Sabre

1.18, Аноним67 (?), 09:14, 21/05/2013 [ответить] [﹢﹢﹢] [ · · · ] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
А мне не удаётся предоставить другим пользователям шару ни к одной из своих папок (хотя я админ), при расшаривании она других пользователей просто не видит. Без этого смысла в системе не вижу, а очень бы хотелось такую штуку завести на работе. Может я что-то не так делаю? Помогите, пожалуйста.

1.19, XoRe (ok), 18:44, 21/05/2013 [ответить] [﹢﹢﹢] [ · · · ] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Рекомендую выносить папку data за пределы корня сайта

Добавить комментарий

Имя:

E-Mail:

Текст: