Информация по безопасности / 2015 / Информация о безопасности -- DSA-3244-1 owncloud

Рекомендация Debian по безопасности

DSA-3244-1 owncloud -- обновление безопасности

Дата сообщения:

02.05.2015

Затронутые пакеты:

owncloud

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2015-3011, CVE-2015-3012, CVE-2015-3013.

Более подробная информация:

В ownCloud, веб-сервисе облачного хранилища файлов, музыки, контактов, календарей и многого другого, были обнаружены многочисленные проблемы уязвимости.

• CVE-2015-3011

  Хью Дэйвенпорт обнаружил, что приложение contacts, поставляемое в составе ownCloud, уязвимо к атакам по принципу множественно хранимого межсайтового скриптинга. Данная уязвимость может использоваться в любом браузере.

• CVE-2015-3012

  Рой Дэнсен обнаружил, что приложение documents, поставляемое в составе ownCloud, уязвимо к атакам по принципу множественно хранимого межсайтового скриптинга. Данная уязвимость не может использоваться в браузерах, которые поддерживают текущий стандарт CSP.

• CVE-2015-3013

  Лукас Решке обнаружил способ, с помощью которого можно обойти чёрный список, что позволяет аутентифицированным удалённым злоумышленникам обходить чёрный список файлов и загружать такие файлы как .htaccess. Злоумышленник может использовать эту уязвимость для загрузки .htaccess и выполнения произвольного кода на PHP в случае, если каталог /data/ хранится внутри корневого каталога веб-сайта, а в настройках веб-сервера включено использование файлов .htaccess. По умолчанию в Debian каталог data располагается за пределами корневого каталога веб-сайта, поэтому данная уязвимость при настройках по умолчанию использоваться не может.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 7.0.4+dfsg-4~deb8u1.

В тестируемом выпуске (stretch) эти проблемы были исправлены в версии 7.0.4+dfsg-3.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 7.0.4+dfsg-3.

Рекомендуется обновить пакеты owncloud.