ข้อผิดพลาดร้ายแรงใน Application การแชร์ไฟล์ ownCloud เปิดเผยรหัสผ่านของผู้ดูแลระบบ


4 December 2566
ข้อผิดพลาดร้ายแรงใน Application การแชร์ไฟล์ ownCloud เปิดเผยรหัสผ่านของผู้ดูแลระบบ

ซอฟต์แวร์แชร์ไฟล์แบบโอเพนซอร์ส ownCloud เตือนถึงช่องโหว่ด้านความปลอดภัยระดับ critical 3 รายการ รวมถึงช่องโหว่ที่อาจเปิดเผยรหัสผ่านของผู้ดูแลระบบและข้อมูลรับรองเซิร์ฟเวอร์อีเมล ownCloud เป็นโซลูชันการซิงค์และแบ่งปันไฟล์แบบโอเพนซอร์สที่ออกแบบมาสำหรับบุคคลและองค์กรที่ต้องการจัดการและแบ่งปันไฟล์ผ่านแพลตฟอร์มที่โฮสต์ด้วยตนเอง OwnCloud ถูกใช้งานโดยธุรกิจและองค์กร สถาบันการศึกษา หน่วยงานราชการ และบุคคลที่ต้องการรักษาควบคุมของข้อมูลของตนเอง โดยไม่ต้องโฮสต์ที่ผู้ให้บริการเก็บข้อมูลบนคลาวด์ที่บุคคลที่สาม ตามรายงานจาก OwnCloud, มีการติดตั้งทั้งหมด 200,000 รายการ, ลูกค้าส่วนการตลาด 600 ราย, และผู้ใช้งานทั้งหมด 200 ล้านคน ซอฟต์แวร์ประกอบด้วยไลบรารีและส่วนประกอบต่างๆ ที่ทำงานร่วมกันเพื่อมอบฟังก์ชันการทำงานที่หลากหลายสำหรับแพลตฟอร์มที่จัดเก็บข้อมูลบนคลาวด์

ความเสี่ยงร้ายแรงต่อการรั่วไหลของข้อมูล

  ทีมพัฒนาที่อยู่เบื้องหลังโครงการได้ออกกระดานข่าวด้านความปลอดภัยสามฉบับเมื่อต้นสัปดาห์นี้ โดยเตือนถึงข้อบกพร่องที่แตกต่างกันสามประการในองค์ประกอบของ ownCloud ที่อาจส่งผลกระทบอย่างรุนแรงต่อความสมบูรณ์อย่างจริงจัง ข้อบกพร่องแรกถูกติดตามเป็น CVE-2023-49103 และได้รับคะแนน CVSS v3 สูงสุดที่ 10 ช่องโหว่ดังกล่าวสามารถใช้เพื่อขโมยข้อมูลประจำตัวและข้อมูลการกำหนดค่าในการปรับใช้แบบคอนเทนเนอร์ ซึ่งส่งผลกระทบต่อตัวแปรสภาพแวดล้อมทั้งหมดของเว็บเซิร์ฟเวอร์ ปัญหาดังกล่าวส่งผลกระทบต่อ Graphapi 0.2.0 ถึง 0.3.0 เนื่องจาก Application ต้องพึ่งพาไลบรารีของบุคคลที่สามซึ่งเปิดเผยรายละเอียดสภาพแวดล้อม PHP ผ่าน URL เปิดเผยรหัสผ่านผู้ดูแลระบบ ownCloud ข้อมูลรับรองเซิร์ฟเวอร์เมล และคีย์ใบอนุญาต การแก้ไขที่แนะนำคือการลบไฟล์ ‘owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php’ ปิดการใช้งานฟังก์ชัน ‘phpinfo’ ในคอนเทนเนอร์ Docker และเปลี่ยนความลับที่อาจเปิดเผย เช่น รหัสผ่านผู้ดูแลระบบ ownCloud , เมลเซิร์ฟเวอร์, ข้อมูลรับรองฐานข้อมูล และคีย์การเข้าถึง Object-Store/S3