Logo de l'entreprise CYTIAC consultant en Informatique et Cybersécurité

Le Blog

La solution Owncloud face à de graves problèmes de sécurité

Posté le : 15 Jan 2024
Par : Arnaud Chastillon
Commentaires :0
Temps de lecture : 2 minutes
image de owncloud avec un nuage

owncloud face à des failles de sécurité

OwnCloud, une solution Open Source librement téléchargeable dans sa version gratuite, est largement utilisée par un nombre considérable d’entreprises à travers le monde. Elle s’apparente un peu à Google Drive, OneDrive ou Dropbox.

3 Vulnérabilités, facilement exploitables …

 

OwnCloud presse ses clients et utilisateurs de la communauté à prendre rapidement des mesures d’urgence pour appliquer les correctifs ou mettre en place des contournements. C’est une très mauvaise nouvelle, étant donné que de nombreuses entreprises et cabinets utilisent cette solution en mode hébergement privé et effectuent rarement les mises à jour déjà expressément requises.

L’éditeur recommande plusieurs actions correctrices, notamment le renouvellement des mots de passe des différents comptes administrateurs et comptes techniques utilisés dans la solution.

 

Les détails sur les découvertes, ci-dessous :

 

CVE-2023-49103, notée 10/10 :

« Dans les déploiements conteneurisés, ces variables d’environnement peuvent inclure des données sensibles telles que le mot de passe administrateur d’ownCloud, les informations d’identification du serveur de messagerie et la clé de licence. Il est important de souligner que la simple désactivation de l’application graphapi n’élimine pas la vulnérabilité. » (Source OwnCloud)

Solution de contournement expresse : Supprimez le fichier GetPhpInfo.php situé dans
« owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/ »

CVE-2023-49105, notée 9.8/10 :

Un attaquant peut accéder, modifier ou supprimer n’importe quel fichier sans authentification si le nom d’utilisateur d’une victime est connu et si la victime n’a pas configuré de clé de signature. Cela se produit car les URL pré-signées peuvent être acceptées même lorsqu’aucune clé de signature n’est configurée pour le propriétaire des fichiers. La première version concernée est la 10.6.0.

 

CVE-2023-49105, notée 8.7/10 :

Bibliothèque owncloud/oauth2 avant la version 0.6.1, lorsque « Autoriser les sous-domaines » est activé. Un attaquant est capable de transmettre une URL de redirection contrefaite qui contourne la validation et permet par conséquent à un attaquant de rediriger les rappels vers un domaine de premier niveau contrôlé par l’attaquant.

Solution de contournement expresse :  retirez l’option autorisant les sous-domaines (includeSubDomains) dans votre fichier de configuration Apache ou dans le fichier .htaccess

 

Il existe une alternative à OwnCloud, c’est NextCloud !

Arnaud Chastillon

Arnaud Chastillon

Entrepreneur et dirigeant de CYTIAC
https://www.cytiac.fr

Consultant spécialisé en Informatique et Cybersécurité, j’ai à cœur de trouver des solutions simples à des défis complexes. Mon objectif est d’aider mes clients à naviguer dans le monde numérique en toute confiance, en mettant en place des systèmes fiables et sécurisés.