Accueil > Avis de sécurité du CERT-MC et du CERT-FR > AVIS CERTFR - 2023 - AVI - 0970

AVIS CERTFR - 2023 - AVI - 0970

Objet : Multiples vulnérabilités dans les produits OwnCloud

Référence : CERTFR-2023-AVI-0970

Risque(s)

- Atteinte à la confidentialité des données
- Atteinte à l'intégrité des données
- Contournement de la politique de sécurité

Systèmes affectés

- bibliothèque OwnCloud graphapi 0.2.x antérieures à 0.2.1
- bibliothèque OwnCloud graphapi 0.3.x antérieures à 0.3.1
- bibliothèque OwnCloud oauth2 versions antérieures à 0.6.1
- OwnCloud core versions 10.6.0 et ultérieures, antérieures à 10.13.1

Résumé

De multiples vulnérabilités ont été découvertes dans les produits OwnCloud. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, une atteinte à l'intégrité des données et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Attention : L'éditeur préconise de réaliser plusieurs actions correctrices, notamment de renouveler les mots de passe des différents comptes administrateurs et comptes techniques utilisés par le service OwnCloud.

Documentation

Bulletin de sécurité OwnCloud 1 du 21 novembre 2023
https://owncloud.com/security-advisories/subdomain-validation-bypass/  
Bulletin de sécurité OwnCloud 2 du 21 novembre 2023
https://owncloud.com/security-advisories/webdav-api-authentication-bypass-using-pre-signed-urls/  
Bulletin de sécurité OwnCloud 3 du 21 novembre 2023
https://owncloud.com/security-advisories/disclosure-of-sensitive-credentials-and-configuration-in-containerized-deployments/  
Référence CVE CVE-2023-49103
https://www.cve.org/CVERecord?id=CVE-2023-49103  
Référence CVE CVE-2023-49104
https://www.cve.org/CVERecord?id=CVE-2023-49104  
Référence CVE CVE-2023-49105
https://www.cve.org/CVERecord?id=CVE-2023-49105  

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0970/

CERTFR-2024-AVI-0149_Multiples vulnerabilites dans Moodle

20 février 2024
actualite

Objet : Multiples vulnérabilités dans MoodleRéférence : CERTFR-2024-AVI-0149Risque(s) - Contournement de la politique de sécurité - Déni de service... Lire la suite[+]

CERTFR-2024-AVI-0148_Vulnerabilite dans Kaspersky Anti Targeted Attack

20 février 2024
actualite

Objet : Vulnérabilité dans Kaspersky Anti Targeted AttackRéférence : CERTFR-2024-AVI-0148Risque(s)- Contournement de la politique de sécuritéSystèm... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93


Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Conseils élémentaires
//amsn.gouv.mc/Avis-de-securite-du-CERT-MC-et-du-CERT-FR/AVIS-CERTFR-2023-AVI-0970