๐ ownCloud bis 8.0.9/8.1.4/8.2.1 erweiterte Rechte [CVE-2016-1500]
๐ก Newskategorie: Sicherheitslรผcken
๐ Quelle: scip.ch
Allgemein
scipID: 80169
Betroffen: ownCloud bis 8.0.9/8.1.4/8.2.1
Veröffentlicht: 08.01.2016
Risiko: kritisch
Erstellt: 10.01.2016
Aktualisiert: 11.01.2016
Eintrag: 65.7% komplett
Beschreibung
Es wurde eine Schwachstelle in ownCloud bis 8.0.9/8.1.4/8.2.1 ausgemacht. Sie wurde als kritisch eingestuft. Betroffen hiervon ist eine unbekannte Funktion. Dank Manipulation mit der Eingabe .v
kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
ownCloud Server before 7.0.12, 8.0.x before 8.0.10, 8.1.x before 8.1.5, and 8.2.x before 8.2.2, when the “file_versions” application is enabled, does not properly check the return value of getOwner, which allows remote authenticated users to read the files with names starting with “.v” and belonging to a sharing user by leveraging an incoming share.
Die Schwachstelle wurde am 08.01.2016 publiziert. Die Identifikation der Schwachstelle wird mit CVE-2016-1500 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt.
Ein Aktualisieren auf die Version 8.0.10, 8.1.5 oder 8.2.2 vermag dieses Problem zu lösen.CVSS
Base Score: 6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]
Temp Score: 5.2 (CVSS2#E:ND/RL:OF/RC:ND) [?]
CPE
Exploiting
Klasse: Erweiterte Rechte
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $2k-$5k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: ownCloud 8.0.10/8.1.5/8.2.2
Timeline
08.01.2016 | Advisory veröffentlicht
10.01.2016 | VulDB Eintrag erstellt
11.01.2016 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2016-1500 (mitre.org) (nvd.nist.org) (cvedetails.com)
...