Множественные уязвимости в ownCloud

Дата публикации: 29.08.2012
Опасность: Низкая
Наличие исправления: Да
Количество уязвимостей: 4
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
Наличие эксплоита: Нет данных
Уязвимые продукты: ownCloud 4.x

Уязвимые версии: ownCloud версий до 4.0.6

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти ограничения безопасности на целевой системе.

1. Уязвимость существует из-за недостаточного ограничения доступа к appconfig.php. Удаленный пользователь может подключиться к запрещенному для него функционалу.

Примечание: Уязвимость № 1 распространяется на ownCloud 4.0.5, возможно другие версии.

2. Уязвимость существует из-за недостаточной обработки входных данных. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

Примечание: Уязвимость № 2 распространяется на ownCloud версий до 4.0.3.

3. Уязвимость существует из-за недостаточной обработки входных данных в календаре и контактах. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

Примечание: Уязвимость № 3 распространяется на ownCloud версий до 4.0.2.

4. Уязвимость существует из-за недостаточной обработки входных данных в календаре и контактах. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

Примечание: Уязвимость № 3 распространяется на ownCloud версий до 4.0.1.

URL производителя: http://owncloud.org/

Решение: Для устранения уязвимости установите продукт версии 4.0.6 с сайта производителя.

Ссылки: http://owncloud.org/changelog/
Читать далее

Настройка ОС и ПО для owncloud

Archlinux
Есть два AUR пакета для ownCloud 2:

-Стабильная версия 3.0
-Разрабатываемая версия

openSUSE
1. Скопировать ownCloud в директорию Apache: /srv/www/htdocs
2. Дайте веб-серверу необходимые права: sudo chown -R wwwrun owncloud
-Если у вас нет "sudo" необходимо стать root пользователем и выполнить: chown -R wwwrun owncloud в директории.
-(Если вы используете MySQL, вы должны установить базу данных в UTF-8)
3. Откройте папку, в браузере и завершите работу мастера установки.

Если выполнили все шаги, описанные выше, и хотите попробовать в работе систему, выполните следующую команду в терминале для запуска Apache, если он не запущен:

1. sudo /etc/init.d/apache2 start
2. Перейдите http://127.0.0.1/owncloud/index.php и завершите настройку.

SLES и openSUSE rpm пакеты на ownCloud 2.0.1 openSUSE Build Service
Читать далее

Обновление ownCloud (инструкция)

Чтобы обновить ownCloud, просто замените старые файлы, новыми. Оставьте без изменений папку config/ и data/, чтобы сохранить свои данные. Обновление происходит автоматически, когда вы впервые войдете в систему.
Читать далее

Установка ownCloud (инструкция)

Для запуска ownCloud, на вашем веб-сервере должны быть установлены следующие компоненты: php5 (>= 5.3), php5-json php-xml php-mbstring php5-zip php5-gdAnd в качестве дополнительных зависимостей: php5-sqlite (>= 3), curl, libcurl3, libcurl3-dev, php5-curl, php-pdo
apt-get install apache2 php5 php5-json php-xml php-mbstring php5-zip php5-gd
apt-get install php5-sqlite curl libcurl3 libcurl3-dev php5-curl php-pdo

Вам не нужна поддержка WebDAV веб-сервером (например Apache mod_webdav), чтобы получить доступ к данным через ownCloud WebDAV, ownCloud имеет встроенный WebDAV сервер.


1. Скачать
-Последний стабильный релиз.
-Последний dev-релиз.
-Клиент синхронизации.

2. Установить

2.1. Распакуйте вашу копию ownCloud на ваш веб-сервер
tar -xjf path/to/downloaded/owncloud-x.x.x.tar.bz2cp -r owncloud /path/to/your/webserver
(на Debian, был бы /var/www/owncloud)

2.2. Установить права для каталога
Владелец веб-сервера должен владеть следующими каталогами apps/, data/ и config/ для установки ownCloud. Вы можете сделать это, выполнив следующую команду для apps/, data/ и config/ каталогов: chown -R www-data:www-data /path/to/your/owncloud/install/data

Установите "www-data:www-data" пользователь и группа владелец веб-сервера. "www-data:www-data" подходит для Ubuntu и Debian систем.


2.3. Включение .htaccess и mod_rewrite, если используется Apach.
Если вы используете веб-сервер Apache, то рекомендуется включить .htaccess файлы. ownCloud использует их для повышения безопасности и позволяет использовать webfinger. Чтобы включить .htaccess файлы, вы должны убедиться, что "AllowOverride" установлен в "All" для каталога "/var/www/" в настройках вашего файла виртуального хоста. Это, как правило, в "/ etc/apache2/sites-enabled/000-default". Вы должны также запустить "a2enmod rewrite" и "a2enmod headers". Затем перезагрузите Apache service apache2 restart (для Ubuntu систем).

2.4. Следуйте мастеру установки
Откройте веб-браузер и перейдите на ваш ownCloud. Если вы устанавливаете ownCloud на той же машине, вы получите доступ к мастер установки по URL: http://localhost/ (или http://localhost/owncloud). Для простой установки мы рекомендуем SQLite, его легко установить (ownCloud сделает это за вас). Для полной установки, вы должны использовать MySQL или PostgreSQL. Нажмите на Расширенные настройки, чтобы показать параметры конфигурации. Вы можете ввести учетные данные администратора и ownCloud создаст свою собственную базу данных пользователей или введите предварительно пользователей.
Если вы не используете Apache в качестве веб-сервера, пожалуйста, установите каталог данных за пределами корневого каталога. См. дополнительные параметры установки.


3. Готово!
Войдите и начните использовать ownCloud! Для получения дополнительной информации о настройке ownCloud, пожалуйста, посетите Центр поддержки.

Обновление.
Чтобы обновить ownCloud, просто замените старые файлы, новыми. Оставьте без изменений папку config/ и data/, чтобы сохранить свои данные. Обновление происходит автоматически, когда вы впервые войдете в систему.
Читать далее