ownCloud는 원하는 작업을 수행하기 위해 기본적으로 다른 사용자를 가장하여 의도 된 사용자 역할을하여 명령을 수행하는 등 관리자에게 여러 권한을 부여하는 클라이언트-서버 소프트웨어입니다. 보안상의 이유로 그룹 관리자는 동료 그룹 구성원 사용자의 우산 아래에서만 작업을 수행 할 수 있습니다. 이러한 조치가 시행되고 있음에도 불구하고 중요한 사용자 가장 권한 부여의 악용은 공격을 우회합니다.
취약점은 15 일에 Thierry Viaccoz에 의해 처음 발견되었습니다.일3 월. 첫 번째 공급 업체 알림은 16 일에 전송되었습니다.일3 월과 공급 업체는 바로 같은 날 승인 메시지로 응답했습니다. 한 달이 조금 지나서 소프트웨어 버전 0.2.0의 수정 된 버전이 17 일에 출시되었습니다.일3 월의 공시일은 29 일로 설정되었습니다.일불과 며칠 전인 8 월의.
이 취약점은 ownCloud 버전 0.1.2에 영향을줍니다. 버전 0.2.0은 영향을받지 않습니다. ownClouc의 다른 버전은 아직 테스트되지 않았지만 이전 버전은 버전 0.1.2와 동일한 결함에 취약 할 수 있습니다.
이 고위험 취약점에는 아직 CVE 식별 레이블이 지정되지 않았습니다. 그럼에도 불구하고 CSNS ID 레이블 CSNC-2018-015에 따라 해당 사례가 추적되고 있습니다. 이 취약점은 원격으로 악용 될 수 있으며 ownCloud의 가장에 영향을 미칩니다.
이 공격을 재현하려면 먼저 두 그룹 (g1 및 g2)을 만들어야합니다. 다음으로, 다음 그룹을 사용하여 4 명의 사용자를 작성해야합니다. test1, 그룹 1, 그룹 admin = 그룹 1; 테스트 2, 그룹 1, 그룹 관리자 = 그룹 없음; 테스트 3, 그룹 2, 그룹 관리자 = 그룹 2; 테스트 4, 그룹 2, 그룹 관리자 = 그룹 없음.
이 문제에 대한 가장 중요한 완화, 해결 방법 및 / 또는 수정 사항은 그룹 관리자가 다른 사람이나 그룹을 사칭하지 못하도록 다른 사람의 권한을 지속적으로 확인하도록 사용자에게 권고하는 것입니다.
