云计算程序Nextcloud和ownCloud最近受到多个安全漏洞的影响,这些漏洞允许第三方访问存储的服务器文件。目前的版本已经修复了这些漏洞。
OwnCloud和Nextcloud是Dropbox、GoogleDrive或MicrosoftOneDrive等专有云服务的广泛使用的开源替代品。用户可以使用开源Nextcloud和ownCloud解决方案来操作自己的服务器,这些解决方案最近暴露出严重的安全漏洞。但当前版本的用户现在可以免受试图利用新漏洞的攻击者的侵害。
就Nextcloud而言,恶意第三方可以阻止对云服务器上文件的访问,尽管Nextcloud隐藏了此类攻击的细节-大概是为了阻止模仿者。Nextcloud漏洞的编号为CVE-2023-48239,开发者自己在GitHub上将其归类为“高”。制造商建议更新到当前版本的NextcloudServer(25.0.13、26.0.8或27.1.3)或NextcloudEnterpriseServer(20.0.14.16、21.0.9.13、22.2.10.15、23.0.12.12、24.0.12.8、25.0).13、26.0.8或27.1.3)。
OwnCloud在自己的博客中谈到了三个安全漏洞,制造商将所有这些漏洞归类为“严重”。在10.13.3之前的ownCloud版本中,可以通过第三方“GraphAPI”库监视登录信息,例如管理员密码。第二个ownCloud漏洞涉及另一个编程接口或简称API:通过WebDAVAPI,攻击者无需登录即可删除服务器上的文件。第三个漏洞位于OAuth2应用程序中,第三方可利用该漏洞偷偷传入URL重定向。据ownCloud称,所有三个缺陷均已在2023年9月发布的10.13.1版本中得到纠正。
标签:
免责声明:本文由用户上传,如有侵权请联系删除!