URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 90061
[ Назад ]

Исходное сообщение
"В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."

Отправлено opennews , 17-Май-13 18:03 
Представлены (http://mailman.owncloud.org/pipermail/announcements/2013-May...) корректирующие выпуски проекта ownCloud 5.0.6, 4.5.11 и 4.0.15 (http://owncloud.org/), в рамках которого развивается система для организации хранения, синхронизации и обмена данными, размещёнными на внешних серверах, отличающаяся  предоставлением пользователю полного контроля над своими данными за счет установки ownCloud на своих серверах. В новых выпусках устранено десять уязвимостей (http://owncloud.org/about/security/advisories/), среди которых имеются проблемы критического характера.


В частности, присутствует проблема, позволяющая аутентифицированному удалённому пользователю выполнить произвольный PHP-код на сервере, путём загрузки файла с расширением php и последующим прямым обращением к нему. Также исправлено несколько уязвимостей, которые дают возможность осуществить подстановку SQL-запроса через манипуляции с различными параметрами запросов. Одна из проблем позволяет организовать CSRF-атаку для организации обращения к API с правами администратора. Уязвимость в реализации календаря-планировщика даёт возможность получить полный доступ к календарям других пользователей.

URL: http://mailman.owncloud.org/pipermail/announcements/2013-May...
Новость: http://www.opennet.me/opennews/art.shtml?num=36956


Содержание

Сообщения в этом обсуждении
"В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."
Отправлено wiseman , 17-Май-13 18:03 
> выполнить произвольный PHP-код на сервере, путём загрузки файла с расширением php и последующим прямым обращением к нему

Это шедевр


"В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."
Отправлено Аноним , 17-Май-13 20:19 
eval программисты

"В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."
Отправлено Аноним , 18-Май-13 12:39 
ownClown

"В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."
Отправлено Аноним , 20-Май-13 21:31 
> ownClown

pwnCloud.


"В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."
Отправлено бедный буратино , 17-Май-13 18:07 
> Это шедевр

Это то, что в php будет всегда. Пока в конфигах веб-сервера будут прописывать .php, а не строго конкретные точки входа


"В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."
Отправлено Аноним , 17-Май-13 19:19 
А как насчет эпической дырки в moin-moin, позволяющей выполнить произвольный код? Что-то питон этим индусам не помог от отсутствия мозгов.

"В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."
Отправлено бедный буратино , 17-Май-13 18:08 
Кстати, скоро, наверное, и подтянутся новости "в GAE обнаружена уязвимость, позволяющая порулить google-м".

"В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."
Отправлено Аноним , 17-Май-13 19:20 
> Кстати, скоро, наверное, и подтянутся новости "в GAE обнаружена уязвимость, позволяющая
> порулить google-м".

Ага, в moin-moin на бидоне нашли же. А остальные питонисты ничуть не лучше пишут - они надеятся что за них вумный ЯП подумает, и вообще, если постоянно пинками в стойло ставят - значит накосячить не дадут :)


"В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."
Отправлено бедный буратино , 18-Май-13 03:10 
> Ага, в moin-moin на бидоне нашли же.

Если ты встретишь на дороге шаолиньского монаха, ударь его по лицу.
Если это будет проходимец в одежде шаолиньского монаха, то так ему и надо!
Если это будет ученик шаолиньских монахов, он будет благодарен тебе за урок.

Если это будет настоящий шаолиньский монах, ты ему по лицу не попадешь.


"В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."
Отправлено Аноним , 20-Май-13 21:27 
> Если это будет настоящий шаолиньский монах, ты ему по лицу не попадешь.

Как видишь, этим "монахам" по лицу все-таки попали. Ломом. Так что поаккуратнее там с рассказами о их крутоте.


"В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."
Отправлено Аноним , 17-Май-13 19:10 
Клиент под Android, которым они барыжат на Google Play, так и не работает? Или уже починили?

Довольно интересный способ зарабатывания денег. Продавать клиента к своей поделке, который с ней не соединяется.


"В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."
Отправлено Аноним , 17-Май-13 20:23 
Вы это сейчас серьёзно ?

"В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."
Отправлено Аноним , 18-Май-13 09:00 
> Вы это сейчас серьёзно ?

Конечно. В Google Play стоимость клиента под андроид ~30 руб. - https://play.google.com/store/apps/details?id=com.owncloud.a...

Теперь зайдите на google.com и наберите в форме поиска: "android owncloud sync failed".


"В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."
Отправлено Аноним , 20-Май-13 21:30 
Для гугля это совершенно нормально - софт для эппла и ведроида пишет в 99% случаев обдолбаное школие, которое хочет ровно одного: т.к. их величества изучали "этот уникальный, ни с чем не совместимый крап", затраты на это время надлежит отбить. И чем быстрее - тем лучше. Так рождается тонна кривого, убогого, глючного, тормозного и в целом отвратительного софта. За который тем не менее вполне серьезно хотят бабла.

"В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."
Отправлено Аноним , 21-Май-13 19:50 
Да ладно если бы этот клиент был от школоты, но ведь в качестве разработчика клиента под Android указана компания ownCloud, Inc.

Честно скажу, такого поворота я никак не ожидал, когда покупал этого типа официального клиента. Дело не в 30 рублях, а просто сам факт такого наглого нае....ва поверг в шок.


"В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."
Отправлено Аноним , 17-Май-13 20:27 
Ещё одна проблема о которой лучше знать: в «ownCloud» поддержка WebDAV реализована на основе «SabreDAV», а эта штука использует «красивые» ссылки типа /owncloud/files/webdav.php/Documents/info.php со всеми вытекающими последствиями. Уже давно в «Nginx» прописал на такое выдавать 404.

"В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."
Отправлено Аноним , 21-Май-13 19:26 
Это вы нам тут свою религию красоты урлов пытаетесь проповедовать? А почему вы думаете что это не ваши проблемы а чьи-то еще?

"В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."
Отправлено Anonim , 17-Май-13 22:11 
Стремно все это в интернет выставлять.
Можно какой CalDAV сервер на компе заюзать с андроида по ssh? В удобном и автоматическом режиме.

"В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."
Отправлено анон , 18-Май-13 09:25 
Baikal - минимальная надстройка-админка над Sabre

"В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."
Отправлено Аноним67 , 21-Май-13 09:14 
А мне не удаётся предоставить другим пользователям шару ни  к одной из своих папок (хотя я админ), при расшаривании она других пользователей просто не видит.  Без этого смысла в системе не вижу, а очень бы хотелось такую штуку завести на работе. Может я что-то не так делаю? Помогите, пожалуйста.

"В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."
Отправлено XoRe , 21-Май-13 18:44 
Рекомендую выносить папку data за пределы корня сайта