Debians sikkerhedsbulletin
DSA-3244-1 owncloud -- sikkerhedsopdatering
- Rapporteret den:
- 2. maj 2015
- Berørte pakker:
- owncloud
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2015-3011, CVE-2015-3012, CVE-2015-3013.
- Yderligere oplysninger:
-
Adskillige sårbarheder blev opdaget i ownCloud, en webservice til skystorage til filer, musik, kontakter, kalendre og meget mere.
- CVE-2015-3011
Hugh Davenport opdagede at
contacts
-applikationen, som leveres med ownCloud, var sårbar over for adskillige angreb i forbindelse med udførelse af opbevarede skripter på tværs af websteder. Sårbarheden kan udnyttes via enhver browser. - CVE-2015-3012
Roy Jansen opdagede at
documents
-applikationen, som leveres med ownCloud, var sårbar over for adskillige angreb i forbindelse med udførelse af opbevarede skripter på tværs af websteder. Sårbarheden er ikke udnytbar i browsere, der understøtter CSP-standarden. - CVE-2015-3013
Lukas Reschke opdagede en sårbarhed i forbindelse med omgåelse af en sortliste, hvilket gjorde det muligt for autentificerede fjernangribere at omgå filsortlisten og at uploade filer så som .htaccess-filerne. En angriber kunne udnytte omgåelsen til at uploade en .htaccess-fil og udføre vilkårlig PHP-kode, hvis /data/-mappen opbevares inde i webroot og en webserver, som fortolker .htaccess-filer, anvendes. Som standard i Debian-installationer er datamappen uden for webroot og dermed kan sårbarheden ikke udnyttes som standard.
I den stabile distribution (jessie), er disse problemer rettet i version 7.0.4+dfsg-4~deb8u1.
I distributionen testing (stretch), er disse problemer rettet i version 7.0.4+dfsg-3.
I den ustabile distribution (sid), er disse problemer rettet i version 7.0.4+dfsg-3.
Vi anbefaler at du opgraderer dine owncloud-pakker.
- CVE-2015-3011