Er zijn kritieke bugs gevonden in de gratis cloudsoftware OwnCloud. Met een daarvan kunnen aanvallers toegang krijgen tot inloggegevens van de admin en mailserver, en van de licentiekey, indien de software in een Container draait. Dit probleem komt voor bij versies 0.2.0 tot en met 0.3.0 van de Graph API-extensie en heeft de maximale cvss-score van 10 gekregen. De bug is in versie 0.3.1 opgelost. Als alternatief kunnen gebruikers ook de phpinfo-functie uitschakelen in de Docker-containers van OwnCloud. Daarnaast raadt het bedrijf aan om het bestand owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php te verwijderen, en om de inloggegevens voor de mailserver, database en admin te wijzigen.
De tweede kwetsbaarheid, met een cvss-score van 9.8, stelt hackers in staat om bestanden aan te passen en te verwijderen zonder dat er voorafgaande authenticatie plaatsvindt. Hiervoor moet de gebruikersnaam van het slachtoffer wel bekend zijn. Ook moet er geen signingkey zijn opgegeven. Het probleem speelt bij versies 10.6.0 tot en met 10.13.0 van de WebDAV-api van OwnCloud. Volgens de ontwikkelaar kan dit worden voorkomen door het gebruik van pre-signed url's te verbieden.
De derde bug is met een cvss-score van 9 iets minder kritiek en zorgt ervoor dat de validatie van een subdomein kan worden omzeild binnen de oauth2-app (versie 0.6.1 of lager). Hiermee kan een aanvaller callbacks omleiden naar een domein dat zij beheren. OwnCloud raadt gebruikers aan om de validatiecode te hardenen of subdomeinen tijdelijk uit te schakelen. De nieuwste patch moet het probleem ook verhelpen.
Bron: OwnCloud
