Säkerhetsbulletin från Debian

DSA-3244-1 owncloud -- säkerhetsuppdatering

Rapporterat den:
2015-05-02
Berörda paket:
owncloud
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2015-3011, CVE-2015-3012, CVE-2015-3013.
Ytterligare information:

Flera sårbarheter har upptäckts i ownCloud, ett molnlagringswebbtjänst för filer, musik, kontakter, kalendrar och mycket annat.

  • CVE-2015-3011

    Hugh Davenport upptäckte att contacts-applikationen som skeppades med ownCloud är sårbar för flera lagrade sajtöverskridande skriptangrepp. Denna sårbarhet är effektivt exploaterbar i vilken webbläsare som helst.

  • CVE-2015-3012

    Roy Jansen upptäckte att documents-applikationen som skeppades med ownCloud är sårbar för flera lagrade sajtöverskridande skriptangrepp. Den sårbarhet är inte exploaterbar i webbläsare som stödjer aktuell CSP-standard.

  • CVE-2015-3013

    Lukas Reschke upptäckte en sårbarhet för förbigång av svartlista, vilket tillåter autentiserade fjärrangripare att förbigå filsvartlistan och ladda upp filer så som .htaccess-filen. En angripare kunde häva denna förbigång genom att ladda upp en .htaccess-fil och köra godtycklig PHP-kod om /data/-mappen lagras i webbrooten och en webbserver som tolkar .htaccess används. På en standard-Debianinstallation finns datamappen utanför webbrooten och därmed är inte denna sårbarhet exploaterbar som standard.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 7.0.4+dfsg-4~deb8u1.

För uttestningsutgåvan (Stretch) har dessa problem rättats i version 7.0.4+dfsg-3.

För den instabila utgåvan (Sid) har dessa problem rättats i version 7.0.4+dfsg-3.

Vi rekommenderar att ni uppgraderar era owncloud-paket.