ownCloud er en klientserver-software, der giver administratorer flere privilegier såsom at udføre kommandoer ved at fungere som den tiltænkte bruger og i det væsentlige efterligne en anden bruger til at udføre ønskede opgaver. Af sikkerhedsmæssige årsager er gruppeadministratorer kun i stand til at gøre ting under paraplyen af andre gruppemedlembrugere. På trods af at denne foranstaltning er på plads, er udnyttelsen af et afgørende forbipasseringsangreb af brugerimitationer.
Sårbarheden blev først opdaget af Thierry Viaccoz den 15thmarts. Den første leverandørmeddelelse blev sendt den 16thi marts, og sælgeren svarede tilbage med en meddelelse om anerkendelse samme dag. Lidt over en måned senere blev den korrigerede version af softwareversion 0.2.0 udgivet den 17thmarts og en offentliggørelsesdato for sagen blev sat til den 29thaugust, som var for få dage siden.
Denne sårbarhed påvirker ownCloud version 0.1.2. Version 0.2.0 findes upåvirket. Andre versioner af ownClouc er endnu ikke testet, men det mistænkes for, at ældre versioner kan være sårbare over for den samme defekt som i version 0.1.2.
Denne sårbarhed med høj risiko er endnu ikke tildelt et CVE-identifikationsmærke. Dets sag følges ikke desto mindre under CSNS ID-mærket CSNC-2018-015. Sårbarheden kan fjernudnyttes, og det påvirker ownClouds Impersonate.
For at genskabe dette angreb skal du først oprette to grupper (g1 og g2). Dernæst skal du oprette fire brugere ved hjælp af disse grupper: test1, gruppe 1, gruppe admin = gruppe 1; test 2, gruppe 1, gruppe admin = ingen gruppe; test 3, gruppe 2, gruppe admin = gruppe 2; test 4, gruppe 2, gruppe admin = ingen gruppe.
Den mest betydningsfulde afhjælpning, omgåelse og / eller rettelse, der er lagt ud for dette problem, er en rådgivning til brugerne om konstant at kontrollere andres autorisationer for at forhindre gruppeadministratorer i at efterligne andre mennesker eller grupper.
