ownCloud 是開(kāi)源一款開(kāi)源免費(fèi)的私有云解決方案，個(gè)人和企業(yè)都可以使用 ownCloud 搭建自己的私有所有數(shù)據(jù)多租戶網(wǎng)盤而無(wú)需使用第三方商業(yè)網(wǎng)盤或云存儲(chǔ)。

上周 ownCloud 在安全中心公布了三枚高危漏洞，云解重慶江北預(yù)約外圍上門電話號(hào)碼微信號(hào)vx《192+1819+1410》提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)這些漏洞都可能會(huì)對(duì) ownCloud 造成數(shù)據(jù)泄露風(fēng)險(xiǎn)，決方因此建議用戶按照官方說(shuō)明應(yīng)用緩解方案，現(xiàn)高泄露提升安全性。危漏網(wǎng)

第一個(gè)漏洞是藍(lán)點(diǎn) Docker 版部署過(guò)程中泄露敏感憑據(jù)和配置信息，ownCloud 給這個(gè)漏洞 CVSS 滿分的開(kāi)源評(píng)級(jí)，也就是私有所有數(shù)據(jù) 10/10 分。

這個(gè)漏洞來(lái)源于第三方庫(kù) graphapi，云解當(dāng)訪問(wèn)相關(guān) URL 時(shí)服務(wù)器會(huì)暴露 PHP 環(huán)境信息，決方重慶江北預(yù)約外圍上門電話號(hào)碼微信號(hào)vx《192+1819+1410》提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)即 phpinfo 里的現(xiàn)高泄露配置信息，這些信息一般是危漏網(wǎng)包含服務(wù)器的所有環(huán)境變量，但通過(guò) Docker 部署時(shí)這些環(huán)境變量可能包含敏感數(shù)據(jù)。藍(lán)點(diǎn)

敏感數(shù)據(jù)包括 ownCloud 管理員密碼、開(kāi)源郵件服務(wù)器憑據(jù)和許可證密鑰等，而且僅僅是禁用 graphapi 并不能徹底解決該漏洞

官方目前采取的方案是在容器版中禁用了 phpinfo，刪除該文件：owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php

除了刪除文件外，ownCloud 建議用戶修改管理員密碼、修改郵件服務(wù)器憑據(jù)、修改數(shù)據(jù)庫(kù)憑據(jù) / 密碼、修改對(duì)象存儲(chǔ) / AWS S3 訪問(wèn)密鑰確保安全。

有關(guān)該漏洞請(qǐng)查看：https://owncloud.com/security-advisories/disclosure-of-sensitive-credentials-and-configuration-in-containerized-deployments/

第二個(gè)漏洞是預(yù)簽名 URL 繞過(guò) WebDAV API 身份驗(yàn)證，該漏洞評(píng)分為 9.8 分。

默認(rèn)情況下并沒(méi)有配置簽名密鑰，如果攻擊者知道目標(biāo)用戶名即可無(wú)需任何身份驗(yàn)證進(jìn)行訪問(wèn)，包括訪問(wèn)、修改或刪除任何文件。

這個(gè)問(wèn)題影響 ownCloud core 10.6.0~10.13.0 版，建議是如果沒(méi)有為文件所有者配置簽名密鑰，那就拒絕使用預(yù)簽名 URL。

有關(guān)該漏洞請(qǐng)查看：https://owncloud.com/security-advisories/webdav-api-authentication-bypass-using-pre-signed-urls/

第三個(gè)漏洞是子域驗(yàn)證繞過(guò)問(wèn)題，這個(gè)和 oauth 驗(yàn)證有關(guān)，CVSS 評(píng)分為 9 分。

在 oauth2 應(yīng)用程序中攻擊者可以傳入特制的重定向 URL，在進(jìn)行重定向時(shí)可以繞過(guò)驗(yàn)證代碼，從而允許攻擊者將回調(diào)重定向到攻擊者控制的域名中。

該問(wèn)題影響 oauth2 0.6.1 以下版本，官方建議是強(qiáng)化 oauth2 驗(yàn)證代碼，最好是直接禁用 “允許子域” 選項(xiàng)來(lái)封禁該漏洞的利用。

有關(guān)該漏洞請(qǐng)查看：https://owncloud.com/security-advisories/subdomain-validation-bypass/

(責(zé)任編輯：綜合)

• ·合肥模特包夜（微信199-7144-9724）提供一二線城市可以真實(shí)可靠快速安排30分鐘到達(dá)
• ·麗江外圍上門外圍女（電話微信199-7144-9724）提供頂級(jí)外圍女上門，可滿足你的一切要求
• ·上海外圍（上海外圍女）（電話微信199-7144-9724）一二線城市外圍預(yù)約、空姐、模特、留學(xué)生、熟女、白領(lǐng)、老師、優(yōu)質(zhì)資源
• ·三亞包夜外圍外圍上門外圍女（電話微信199-7144-9724）一二線熱門城市上門真實(shí)可靠快速安排30分鐘到達(dá)
• ·上海外圍女模特平臺(tái)（外圍模特）外圍女（電話微信199-7144-9724）高端外圍預(yù)約快速安排30分鐘到達(dá)
• ·臺(tái)州外圍（臺(tái)州外圍女）外圍預(yù)約（電話微信199-7144-9724）提供頂級(jí)外圍女上門，優(yōu)質(zhì)資源可滿足你的一切要求
• ·上海包養(yǎng)外圍上門外圍女上門外圍上門外圍女（電話微信199-7144-9724）怎么找空姐莞式外圍上門外圍女桑拿全套按摩高端模特特殊外圍上門外圍女
• ·南通包夜美女外圍上門外圍女（電話微信199-7144-9724）提供全國(guó)及一二線城市外圍模特伴游預(yù)約、空姐、模特、留學(xué)生、熟女、白領(lǐng)、老師、優(yōu)質(zhì)資源覆蓋全國(guó)