ownCloud

ownCloud Sicherheitslücke wird aktiv ausgenutzt

Mehrere Sicherheitslücken gefährden derzeit alle ownCloud-Server-Instanzen mit Versionsnummern kleiner als die aktuelle Version 10.13.3. Die Lücken sind als katalogisiert als:

  • CVE-2023-49103: Betrifft owncloud/graphapi, kann unter anderem Administrator-Credentials, Mailserver-Anmeldeinformationen und Lizenzschlüssel in containerisierten Bereitstellungen offenlegen
  • CVE-2023-49104: Betrifft owncloud/oauth2, erlaubt manipulierte Redirect-URLs, die die Validierung umgehen können
  • CVE-2023-49105: Betrifft owncloud/core, erlaubt unbefugten Zugriff, Änderung oder Löschung von Dateien ohne Authentifizierung

Die Lücken haben einen CVSS-Score zwischen 8.7 und 10.0. Das Common Vulnerability Scoring System (CVSS) ist ein Framework zur Bewertung des Schweregrads von Sicherheitslücken. Es vergibt eine Punktzahl zwischen 0 und 10, wobei 10 die höchste Schwere darstellt. Für die mit 10.0 versehene Lücke CVE-2023-49103 sind Exploits gesichtet worden, die seit dem 25. November massiv genutzt werden.

ownCloud rät zu folgenden Sofortmaßnahmen:

  • Sofort aktualisieren: Alle ownCloud Server-Instanzen unter Version 10.13.3 sind anfällig. OwnCloud Infinite Scale-Instanzen sind NICHT betroffen. Bitte aktualisieren Sie sofort auf die neueste Version (10.13.3).
  • App-spezifische Updates: Für GraphAPI (CVE-2023-49103) und OAuth2 (CVE-2023-49104) aktualisieren Sie bitte die Apps über die bereitgestellten Marktplatz-Links und entfernen Sie die Datei „GetPhpInfo.php“.
  • Patch für Problem mit vorsignierten URLs: Die Umgehung der WebDAV-API-Authentifizierung (CVE-2023-49105) erfordert ein Upgrade auf 10.13.3 oder einen spezifischen Patch, der von unserem Support-Team erhältlich ist.
  • Anleitung für ownCloud Server-Updates: https://doc.owncloud.com/server/next/admin_manual/maintenance/upgrading/upgrade.html
  • GraphAPI: https://marketplace.owncloud.com/apps/graphapi
  • OAuth2: https://marketplace.owncloud.com/apps/oauth2

Teilt den Beitrag, falls ihr mögt

Abonnieren
Benachrichtige mich bei
0 Kommentare
Inline Feedbacks
View all comments