Quel avenir pour le logiciel libre ownCloud ? L’entreprise commerciale fondée sur ce projet vient de changer de mains. Elle est passée dans le giron de Kiteworks (ex-Accellion), un groupe américain qui fait dans la sécurisation des échanges documentaires.
Parallèlement à l’annonce de ce rapprochement, trois failles de sécurité ont été signalées dans ownCloud.
L’une d’entre elles, qualifiée de critique, a une note de 9 sur l’échelle CVSSv3. Elle tient à un mauvais contrôle d’accès dans l’application OAuth 2 (< 0.6.1). En jouant sur l’URL de redirection, on peut contourner le code de validation et ainsi rediriger les callbacks vers un sous-domaine arbitraire.
Le correctif durcit le code en question. Il existe aussi une méthode de contournement : désactiver l’option autorisant les sous-domaines.
Autre vulnérabilité, autre score (9,8)… et autre problème d’authentification. En l’occurrence, sur l’API WebDAV (cœur ownCloud 10.6.0 – 10.13.0). Il est possible de lire, modifier ou supprimer tout fichier si on connaît un nom d’utilisateur et que celui-ci n’a pas de clé de signature associée – ce qui est le cas par défaut.
Le correctif interdit l’usage d’URL présignées en l’absence de clé de signature pour le propriétaire des fichiers.
La troisième faille atteint le score maximal de 10. Elle concerne l’extension Graph API (versions 0.2.0 à 0.3.0). Celle-ci ajoute un endpoint utilisateur basé sur la spec Microsoft Graph et ouvre la voie à des déploiements hybrides entre ownCloud Server et ownCloud Infinite Scale.
L’extension Graph API s’appuie sur une bibliothèque tierce qui fournit une URL. Cette dernière, lorsqu’on y accède, révèle les détails de configuration de l’environnement PHP (phpinfo). Cela inclut les variables d’environnement du serveur web.
Dans le cadre des déploiements en conteneurs, ces variables peuvent comprendre des données sensibles dont mot de passe admin, authentifiants de serveur mail et clé de licence. Désactiver l’extension n’élimine pas la faille. En revanche, les conteneurs Docker d’avant février 2023 ne sont pas vulnérables.
Le correctif supprime le fichier owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhPInfo.php. Il désactive par ailleurs la fonction phpinfo dans les conteneurs. En attendant d’autres mesures de renforcement dans de futures releases, ownCloud recommande de modifier mots de passe admin, authentifiants de serveur mail et de base de données, ainis que clés d’accès S3.
Illustration © ownCloud
Les États-Unis vont tripler leur capacité nationale de fabrication de puces et contrôler 30 %…
IBM publie, sous licence libre, quatre modèles de fondation Granite pour le code. Voici quelques…
C'est dans l'État de Brandebourg, en Allemagne, que sera lancée la première région AWS European…
Veeam prévoit une prise en charge de Proxmox au troisième trimestre 2024. Il en fera…
À l'appui de témoignages d'Airbus, Valeo et Worldline, la plénière du Google Cloud Summit Paris…
OpenAI lance son nouveau modèle GPT-4o avec une capacité de conversation vocale, une application de…