Vulnerabilidades en el programa para Linux OwnCloud

El investigador Lukas Kupczyk ha descubierto dos vulnerabilidades en OwnCloud que permitirían la ejecución de código arbitrario y averiguar el token de restablecimiento de la contraseña.

image

OwnCloud es un software open source destinado al almacenamiento de ficheros, contactos, calendarios, etc. en la nube creado por los desarrolladores de KDE. Su objetivo es que pueda ser instalado por cualquiera en su propia máquina sin depender de un tercero. Se ofrece una amplia variedad de funcionalidades, como el streaming, sincronización automática, copias de seguridad…

La vulnerabilidad de ejecución de código se debe a una falta de comprobación de los nombres de los archivos subidos al servidor. Un atacante podría enviar un archivo ‘.htaccess’ a su carpeta de usuario, que tendría preferencia ante los permisos definidos en el archivo ’.htaccess’ que se encuentra en una carpeta superior. Se ha añadido en la nueva versión parcheada una lista negra de nombres de ficheros que se comprueba antes de subir cualquier archivo al servidor.

Fuente: Blog Capitancrunch

Posted por ADF Informática

Acerca de Antonio Dominguez

Analista Forense Informático, Asesor, Consulting, Técnico en Hardware y Desarrollo Ver todas las entradas de Antonio Dominguez

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: