Säkerhetsbulletin från Debian
DSA-3244-1 owncloud -- säkerhetsuppdatering
- Rapporterat den:
- 2015-05-02
- Berörda paket:
- owncloud
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2015-3011, CVE-2015-3012, CVE-2015-3013.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i ownCloud, ett molnlagringswebbtjänst för filer, musik, kontakter, kalendrar och mycket annat.
- CVE-2015-3011
Hugh Davenport upptäckte att
contacts
-applikationen som skeppades med ownCloud är sårbar för flera lagrade sajtöverskridande skriptangrepp. Denna sårbarhet är effektivt exploaterbar i vilken webbläsare som helst. - CVE-2015-3012
Roy Jansen upptäckte att
documents
-applikationen som skeppades med ownCloud är sårbar för flera lagrade sajtöverskridande skriptangrepp. Den sårbarhet är inte exploaterbar i webbläsare som stödjer aktuell CSP-standard. - CVE-2015-3013
Lukas Reschke upptäckte en sårbarhet för förbigång av svartlista, vilket tillåter autentiserade fjärrangripare att förbigå filsvartlistan och ladda upp filer så som .htaccess-filen. En angripare kunde häva denna förbigång genom att ladda upp en .htaccess-fil och köra godtycklig PHP-kod om /data/-mappen lagras i webbrooten och en webbserver som tolkar .htaccess används. På en standard-Debianinstallation finns datamappen utanför webbrooten och därmed är inte denna sårbarhet exploaterbar som standard.
För den stabila utgåvan (Jessie) har dessa problem rättats i version 7.0.4+dfsg-4~deb8u1.
För uttestningsutgåvan (Stretch) har dessa problem rättats i version 7.0.4+dfsg-3.
För den instabila utgåvan (Sid) har dessa problem rättats i version 7.0.4+dfsg-3.
Vi rekommenderar att ni uppgraderar era owncloud-paket.
- CVE-2015-3011