The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."  +/
Сообщение от opennews (ok) on 17-Май-13, 18:03 
Представлены (http://mailman.owncloud.org/pipermail/announcements/2013-May...) корректирующие выпуски проекта ownCloud 5.0.6, 4.5.11 и 4.0.15 (http://owncloud.org/), в рамках которого развивается система для организации хранения, синхронизации и обмена данными, размещёнными на внешних серверах, отличающаяся  предоставлением пользователю полного контроля над своими данными за счет установки ownCloud на своих серверах. В новых выпусках устранено десять уязвимостей (http://owncloud.org/about/security/advisories/), среди которых имеются проблемы критического характера.


В частности, присутствует проблема, позволяющая аутентифицированному удалённому пользователю выполнить произвольный PHP-код на сервере, путём загрузки файла с расширением php и последующим прямым обращением к нему. Также исправлено несколько уязвимостей, которые дают возможность осуществить подстановку SQL-запроса через манипуляции с различными параметрами запросов. Одна из проблем позволяет организовать CSRF-атаку для организации обращения к API с правами администратора. Уязвимость в реализации календаря-планировщика даёт возможность получить полный доступ к календарям других пользователей.

URL: http://mailman.owncloud.org/pipermail/announcements/2013-May...
Новость: http://www.opennet.me/opennews/art.shtml?num=36956

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."  +11 +/
Сообщение от wiseman (ok) on 17-Май-13, 18:03 
> выполнить произвольный PHP-код на сервере, путём загрузки файла с расширением php и последующим прямым обращением к нему

Это шедевр

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."  +1 +/
Сообщение от Аноним (??) on 17-Май-13, 20:19 
eval программисты
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

14. "В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."  +/
Сообщение от Аноним (??) on 18-Май-13, 12:39 
ownClown
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

17. "В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."  +/
Сообщение от Аноним (??) on 20-Май-13, 21:31 
> ownClown

pwnCloud.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

2. "В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."  –2 +/
Сообщение от бедный буратино (ok) on 17-Май-13, 18:07 
> Это шедевр

Это то, что в php будет всегда. Пока в конфигах веб-сервера будут прописывать .php, а не строго конкретные точки входа

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."  +/
Сообщение от Аноним (??) on 17-Май-13, 19:19 
А как насчет эпической дырки в moin-moin, позволяющей выполнить произвольный код? Что-то питон этим индусам не помог от отсутствия мозгов.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."  –2 +/
Сообщение от бедный буратино (ok) on 17-Май-13, 18:08 
Кстати, скоро, наверное, и подтянутся новости "в GAE обнаружена уязвимость, позволяющая порулить google-м".
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."  +/
Сообщение от Аноним (??) on 17-Май-13, 19:20 
> Кстати, скоро, наверное, и подтянутся новости "в GAE обнаружена уязвимость, позволяющая
> порулить google-м".

Ага, в moin-moin на бидоне нашли же. А остальные питонисты ничуть не лучше пишут - они надеятся что за них вумный ЯП подумает, и вообще, если постоянно пинками в стойло ставят - значит накосячить не дадут :)

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

11. "В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."  +/
Сообщение от бедный буратино (ok) on 18-Май-13, 03:10 
> Ага, в moin-moin на бидоне нашли же.

Если ты встретишь на дороге шаолиньского монаха, ударь его по лицу.
Если это будет проходимец в одежде шаолиньского монаха, то так ему и надо!
Если это будет ученик шаолиньских монахов, он будет благодарен тебе за урок.

Если это будет настоящий шаолиньский монах, ты ему по лицу не попадешь.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

15. "В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."  +/
Сообщение от Аноним (??) on 20-Май-13, 21:27 
> Если это будет настоящий шаолиньский монах, ты ему по лицу не попадешь.

Как видишь, этим "монахам" по лицу все-таки попали. Ломом. Так что поаккуратнее там с рассказами о их крутоте.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

4. "В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."  +/
Сообщение от Аноним (??) on 17-Май-13, 19:10 
Клиент под Android, которым они барыжат на Google Play, так и не работает? Или уже починили?

Довольно интересный способ зарабатывания денег. Продавать клиента к своей поделке, который с ней не соединяется.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."  +/
Сообщение от Аноним (??) on 17-Май-13, 20:23 
Вы это сейчас серьёзно ?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

12. "В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."  +/
Сообщение от Аноним (??) on 18-Май-13, 09:00 
> Вы это сейчас серьёзно ?

Конечно. В Google Play стоимость клиента под андроид ~30 руб. - https://play.google.com/store/apps/details?id=com.owncloud.a...

Теперь зайдите на google.com и наберите в форме поиска: "android owncloud sync failed".

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

16. "В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."  +/
Сообщение от Аноним (??) on 20-Май-13, 21:30 
Для гугля это совершенно нормально - софт для эппла и ведроида пишет в 99% случаев обдолбаное школие, которое хочет ровно одного: т.к. их величества изучали "этот уникальный, ни с чем не совместимый крап", затраты на это время надлежит отбить. И чем быстрее - тем лучше. Так рождается тонна кривого, убогого, глючного, тормозного и в целом отвратительного софта. За который тем не менее вполне серьезно хотят бабла.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

21. "В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."  +/
Сообщение от Аноним (??) on 21-Май-13, 19:50 
Да ладно если бы этот клиент был от школоты, но ведь в качестве разработчика клиента под Android указана компания ownCloud, Inc.

Честно скажу, такого поворота я никак не ожидал, когда покупал этого типа официального клиента. Дело не в 30 рублях, а просто сам факт такого наглого нае....ва поверг в шок.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

9. "В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."  +/
Сообщение от Аноним (??) on 17-Май-13, 20:27 
Ещё одна проблема о которой лучше знать: в «ownCloud» поддержка WebDAV реализована на основе «SabreDAV», а эта штука использует «красивые» ссылки типа /owncloud/files/webdav.php/Documents/info.php со всеми вытекающими последствиями. Уже давно в «Nginx» прописал на такое выдавать 404.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."  +/
Сообщение от Аноним (??) on 21-Май-13, 19:26 
Это вы нам тут свою религию красоты урлов пытаетесь проповедовать? А почему вы думаете что это не ваши проблемы а чьи-то еще?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

10. "В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."  +/
Сообщение от Anonim (??) on 17-Май-13, 22:11 
Стремно все это в интернет выставлять.
Можно какой CalDAV сервер на компе заюзать с андроида по ssh? В удобном и автоматическом режиме.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."  +1 +/
Сообщение от анон on 18-Май-13, 09:25 
Baikal - минимальная надстройка-админка над Sabre
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

18. "В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."  +/
Сообщение от Аноним67 on 21-Май-13, 09:14 
А мне не удаётся предоставить другим пользователям шару ни  к одной из своих папок (хотя я админ), при расшаривании она других пользователей просто не видит.  Без этого смысла в системе не вижу, а очень бы хотелось такую штуку завести на работе. Может я что-то не так делаю? Помогите, пожалуйста.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "В ownCloud 5.0.6, 4.5.11 и 4.0.15 устранены критические уязв..."  +/
Сообщение от XoRe (ok) on 21-Май-13, 18:44 
Рекомендую выносить папку data за пределы корня сайта
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру