В популярном опенсорсном решении для синхронизации данных и совместной работы с файлами, ownCloud, обнаружены три критические уязвимости. Одна из них может привести к раскрытию паролей администраторов и учетных данных почтового сервера.
OwnCloud предназначен для частных лиц и организаций, которые хотят управлять и обмениваться файлами через автономную платформу. Он популярен на предприятиях, в образовательных и государственными учреждениях, а также у людей, которые предпочитают сохранять контроль над своими данными, а не размещать их в стороннем облаке.
Согласно официальной статистике, ownCloud насчитывает более 200 000 установок, им пользуются 600 корпоративных клиентов и более 200 000 000 человек по всему миру.
На днях разработчики проекта выпустили сразу три бюллетеня безопасности, предупреждающие о трех уязвимостях в различных компонентах ownCloud, которые могут нести серьезные риски.
Первый недостаток получил идентификатор CVE-2023-49103 и максимальную оценку по шкале CVSS — 10 баллов из 10 возможных. Данная уязвимость может использоваться для кражи учетных данных и конфигурационной информации в контейнерных установках, затрагивая все переменные окружения веб-сервера.
Проблема, затронувшая graphapi 0.2.0 — 0.3.0, связана с зависимостью приложения от сторонней библиотеки, которая «сливает» данные PHP-окружения через URL, что позволяет узнать пароли администратора ownCloud, учетные данные почтового сервера и лицензионные ключи.
Для исправления ситуации рекомендуется удалить файл owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php, отключить функцию phpinfo в контейнерах Docker, а также сменить потенциально скомпрометированные секреты, включая пароль администратора ownCloud, учетные данные от почтового сервера, БД и ключи доступа для Object-Store/S3.
«Важно подчеркнуть, что простое отключение graphapi не устраняет уязвимость, — пишут разработчики. — Кроме того, phpinfo раскрывает и другие потенциально важные сведения о конфигурации, которые могут быть использованы злоумышленниками для сбора информации о системе. Поэтому даже если ownCloud не работает в контейнерной среде, эта уязвимость все равно не может не вызвать беспокойства».
Вторая проблема, получившая оценку 9,8 балла по шкале CVSS, затрагивает библиотеки ядра ownCloud версий с 10.6.0 по 10.13.0 и представляет собой проблему обхода аутентификации в API WebDAV.
Этот баг позволяет злоумышленникам получить доступ, модифицировать или удалить любой файл без аутентификации, если атакующим известно имя пользователя и у него не настроен ключ подписи (по умолчанию он не настроен).
Для исправления ситуации следует установить запрет на использование pre-signed URL, если для владельца файлов не настроен ключ подписи.
Третий, менее серьезный недостаток (9 баллов по шкале CVSS) — это проблема обхода проверки субдоменов, затрагивающая все версии библиотеки oauth2 ниже 0.6.1. Атакующий может ввести в приложение oauth2 специально созданный URL-адрес для перенаправления, который обойдет проверки, позволяя перенаправлять callback'и на домен, контролируемый злоумышленником.
Для решения этой проблемы рекомендуется усилить валидацию в приложении Oauth2. Другим временным решением, о котором так же упоминают разработчики, является отключение опции Allow Subdomains.
Все три описанные в бюллетенях уязвимости заметно влияют на безопасность и целостность среды ownCloud, что может привести к раскрытию конфиденциальной информации, краже данных, фишинговым атакам и другим последствиям. В связи с этим администраторам ownCloud следует немедленно применить рекомендованные исправления и как можно скорее выполнить обновление библиотек, чтобы снизить возможные риски.
