😊DigitalDanceDaily
Notícias Exibir por tópico AI? Jogos de Vídeo iPhone Android Apple Google Microsoft Hardware
😊DigitalDanceDaily

Contents

Expondo senhas de administrador com ownCloud? Aqui está o que você precisa saber!

 included in Cloud News
   704 words   4 minutes 

/images/owncloud-storage-cloud.jpg -Gerenciamento de patches

Uma das plataformas de código aberto mais famosas e apreciadas para a criação de serviços de hospedagem e sincronização de arquivos é ownCloud. É uma solução aberta e gratuita projetada para permitir aos usuários acessar, sincronizar e compartilhar seus dados a partir de diversos dispositivos, como computadores, smartphones e tablets.

ownCloud fornece uma solução auto-hospedada pronta para uso: isso significa que os usuários podem instalar e gerenciar a plataforma em um servidor de sua propriedade. É possível preparar um servidor de nuvem pessoal, possivelmente contando com um fornecedor cloud, mas sem compartilhar dados pessoais e informações confidenciais com nenhum provedor.

A plataforma ownCloud hoje conta com mais de 200 milhões de usuários e permite que você acesse remotamente seus arquivos, sejam eles documentos, fotos e outros tipos de objetos, onde quer que você tenha uma conexão com a Internet.

Cuidado com vulnerabilidades que expõem sua senha administrativa do ownCloud

Após a instalação, os administradores definem as configurações do ownCloud, incluindo usuários, grupos e direitos de acesso. O fato é que os responsáveis ​​pelo projeto acabam de confirmar a existência de três sepulturas de vulnerabilidade de segurança, identificadas no interior do produto.

senha de administrador do ownCloud em risco de roubo

O mais perigoso dos três pode ser explorado por usuários mal-intencionados para roubar a senha administrativa do ownCloud e possivelmente utilizá-la sem qualquer autorização. Roubo de credenciais, conforme confirmado neste documento de suporte, pode acontecer em ambientes em contêineres: o invasor pode de fato roubar os valores de todas as variáveis ​​definidas no nível do servidor web.

O elemento suscetível consiste em GraphAPI, variando entre as versões 0.2.0-0.3.0, porém, o problema decorre da dependência de um módulo de terceiros que revela informações sobre o ecossistema PHP utilizado. Consequentemente, dados confidenciais, como senhas administrativas do ownCloud e credenciais de servidores de e-mail, são expostos.

Os desenvolvedores do ownCloud recomendam a exclusão imediata do arquivo owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php , a remoção da função phpinfo nos contêineres do Docker e a **alteração de todas as senhas* * potencialmente expostos (ownCloud, servidor de e-mail, credenciais de banco de dados e chaves de acesso S3/Object Store).

Dado que uma única instância de execução da função “phpinfo()” pode potencialmente revelar informações sensíveis a agentes mal-intencionados, segue-se que esta preocupação de segurança também permanece aplicável para além dos contextos contentorizados.

Ignore o procedimento de autenticação

O segundo problema de segurança, confirmado pelos desenvolvedores do ownCloud, permite superar o procedimento autenticação.

A falha em questão possibilita que um invasor acesse qualquer arquivo, modifique-o ou exclua-o sem antes precisar proceder com qualquer forma de autenticação no ownCloud. Basta saber um nome de usuário válido, previamente configurado na plataforma. A vulnerabilidade pode ser explorada quando os usuários não configuraram uma chave de assinatura ( signing-key ), que é a configuração padrão no ownCloud.

A solução consiste, neste caso, em negar o uso de Pre-signed URLs (pre-signed URLs) caso não tenha sido configurada uma chave de assinatura para o proprietário do arquivo. Um URL pré-assinado é um URL que inclui um token de assinatura , que permite que qualquer pessoa que possua o mesmo URL acesse um recurso específico sem precisar se autenticar separadamente. Este é um processo frequentemente utilizado para fornecer acesso temporário e limitado a alguns recursos, como um arquivo salvo em um serviço de armazenamento em nuvem.

Redirecionar para um domínio controlado pelo invasor

Uma terceira vulnerabilidade descoberta no ownCloud permite que um invasor insira um URL de redirecionamento código especialmente projetado que ignora o código de validação. Desta forma, torna-se possível redirecionar os callbacks (solicitações de retorno) para um domínio controlado pelo invasor, em vez do domínio legítimo.

A solução proposta consiste em fortalecer o código de validação no nível de implementação do protocolo OAuth2. Em particular, é recomendado melhorar o processo de verificação de subdomínios para evitar que invasores o evitem com URLs de redirecionamento habilmente manipulados.

Após a identificação das três vulnerabilidades descritas, os desenvolvedores do ownCloud convidam os usuários do software a proteger suas instalações através das intervenções sugeridas. Além disso, a sugestão é atualizar as bibliotecas afetadas por problemas de segurança o mais rápido possível.

barra lateral inferior relacionada 300

*️⃣ Link da fonte:

este documento de suporte , confirmado pelos desenvolvedores , Solução proposta ,

Updated on 2023-11-27
Back | Home