Alert GCSA-23152 - Vulnerabilita' critiche per la piattaforma ownCloud
******************************************************************
Alert ID: GCSA-23152
Data: 25 novembre 2023
Titolo: Vulnerabilita' critiche per la piattaforma ownCloud
******************************************************************
:: Descrizione del problema
Sono state pubblicate 3 CVE critiche (di valore 10, 9 e 9.8) per la
piattaforma ownCloud.
:: Software interessato
- - owncloud/graphapi 0.2.x anteriore alla 0.2.1 e 0.3.x anteriore alla 0.3.1.
- - owncloud/oauth2 versione anteriore alla 0.6.1, quando il parametro
'Allow Subdomains' e' abilitato.
- - owncloud/core dalla versione 10.6.0 alla 10.13.1.
:: Impatto
La prima vulnerabilita' (CVE-2023-49103, 10.0) puo' essere usata per accedere
alle credenziali di amministrazione ed alle configurazioni nei deployment
su container (con potenziali problemi anche in installazioni in ambienti
alternativi).
La seconda vulnerabilita' (CVE-2023-49104, 9.0) e' sfruttabile solo se e'
abilitato il parametro 'Allow Subdomains', e consente un redirect a un
Top Level Domain controllato dall'attaccante.
La terza vulnerabilita' (CVE-2023-49105, 9.8) e' un'authentication bypass,
nel caso sia noto lo username e non sia presente una signing-key (che e' la
configurazione predefinita).
:: Soluzioni
Aggiornare alle ultime release disponibili, e seguire le indicazioni fornite
dal produttore della piattaforma, disponibili ai link nei riferimenti.
:: Riferimenti
https://nvd.nist.gov/vuln/detail/CVE-2023-49103
https://owncloud.com/security-advisories/disclosure-of-sensitive-credentials-and-configuration-in-containerized-deployments/
https://nvd.nist.gov/vuln/detail/CVE-2023-49104
https://owncloud.com/security-advisories/subdomain-validation-bypass/
https://nvd.nist.gov/vuln/detail/CVE-2023-49105
https://owncloud.com/security-advisories/webdav-api-authentication-bypass-using-pre-signed-urls/
GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iF0EAREIAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCZWG/nwAKCRDBnEyTZRJg
QgrOAJ9HPo2PZ6Z70/gr9t6tCJzwY/z5eQCfURUVMYXnI5/SN/9wFWN6/Gw6l0I=
=13AA
-----END PGP SIGNATURE-----
Alert ID: GCSA-23152
Data: 25 novembre 2023
Titolo: Vulnerabilita' critiche per la piattaforma ownCloud
******************************************************************
:: Descrizione del problema
Sono state pubblicate 3 CVE critiche (di valore 10, 9 e 9.8) per la
piattaforma ownCloud.
:: Software interessato
- - owncloud/graphapi 0.2.x anteriore alla 0.2.1 e 0.3.x anteriore alla 0.3.1.
- - owncloud/oauth2 versione anteriore alla 0.6.1, quando il parametro
'Allow Subdomains' e' abilitato.
- - owncloud/core dalla versione 10.6.0 alla 10.13.1.
:: Impatto
La prima vulnerabilita' (CVE-2023-49103, 10.0) puo' essere usata per accedere
alle credenziali di amministrazione ed alle configurazioni nei deployment
su container (con potenziali problemi anche in installazioni in ambienti
alternativi).
La seconda vulnerabilita' (CVE-2023-49104, 9.0) e' sfruttabile solo se e'
abilitato il parametro 'Allow Subdomains', e consente un redirect a un
Top Level Domain controllato dall'attaccante.
La terza vulnerabilita' (CVE-2023-49105, 9.8) e' un'authentication bypass,
nel caso sia noto lo username e non sia presente una signing-key (che e' la
configurazione predefinita).
:: Soluzioni
Aggiornare alle ultime release disponibili, e seguire le indicazioni fornite
dal produttore della piattaforma, disponibili ai link nei riferimenti.
:: Riferimenti
https://nvd.nist.gov/vuln/detail/CVE-2023-49103
https://owncloud.com/security-advisories/disclosure-of-sensitive-credentials-and-configuration-in-containerized-deployments/
https://nvd.nist.gov/vuln/detail/CVE-2023-49104
https://owncloud.com/security-advisories/subdomain-validation-bypass/
https://nvd.nist.gov/vuln/detail/CVE-2023-49105
https://owncloud.com/security-advisories/webdav-api-authentication-bypass-using-pre-signed-urls/
GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iF0EAREIAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCZWG/nwAKCRDBnEyTZRJg
QgrOAJ9HPo2PZ6Z70/gr9t6tCJzwY/z5eQCfURUVMYXnI5/SN/9wFWN6/Gw6l0I=
=13AA
-----END PGP SIGNATURE-----