AVIS CERTFR - 2023 - AVI - 0970
Publié le 22 novembre 2023 à 17h03 - Mis à jour le 22 novembre 2023 à 17h05
Objet : Multiples vulnérabilités dans les produits OwnCloud
Référence : CERTFR-2023-AVI-0970
Risque(s)
- Atteinte à la confidentialité des données
- Atteinte à l'intégrité des données
- Contournement de la politique de sécurité
Systèmes affectés
- bibliothèque OwnCloud graphapi 0.2.x antérieures à 0.2.1
- bibliothèque OwnCloud graphapi 0.3.x antérieures à 0.3.1
- bibliothèque OwnCloud oauth2 versions antérieures à 0.6.1
- OwnCloud core versions 10.6.0 et ultérieures, antérieures à 10.13.1
Résumé
De multiples vulnérabilités ont été découvertes dans les produits OwnCloud. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, une atteinte à l'intégrité des données et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Attention : L'éditeur préconise de réaliser plusieurs actions correctrices, notamment de renouveler les mots de passe des différents comptes administrateurs et comptes techniques utilisés par le service OwnCloud.
Documentation
Bulletin de sécurité OwnCloud 1 du 21 novembre 2023
https://owncloud.com/security-advisories/subdomain-validation-bypass/
Bulletin de sécurité OwnCloud 2 du 21 novembre 2023
https://owncloud.com/security-advisories/webdav-api-authentication-bypass-using-pre-signed-urls/
Bulletin de sécurité OwnCloud 3 du 21 novembre 2023
https://owncloud.com/security-advisories/disclosure-of-sensitive-credentials-and-configuration-in-containerized-deployments/
Référence CVE CVE-2023-49103
https://www.cve.org/CVERecord?id=CVE-2023-49103
Référence CVE CVE-2023-49104
https://www.cve.org/CVERecord?id=CVE-2023-49104
Référence CVE CVE-2023-49105
https://www.cve.org/CVERecord?id=CVE-2023-49105
Dernière version du document