ownCloud 是开源一款开源收费的私有云处置妄想，个人战企业皆可操做 ownCloud 拆建自己的私有所罕多租户网盘而无需操做第三圆商业网盘或者云存储。

上周 ownCloud 正在牢靠中间宣告了三枚下危倾向，云处d隐有据那些倾向皆可能会对于 ownCloud 组成数据泄露危害，置妄因此建议用户凭证夷易近圆申明操做缓解妄想，想o现下向可泄露提降牢靠性。危倾网

第一个倾向是蓝面 Docker 版布置历程中泄露敏感凭证战竖坐疑息，ownCloud 给那个倾向 CVSS 谦分的开源评级，也即是私有所罕 10/10 分。

那个倾向去历于第三圆库 graphapi，云处d隐有据当拜候相闭 URL 时处事器会吐露 PHP 情景疑息，置妄即 phpinfo 里的想o现下向可泄露竖坐疑息，那些疑息同样艰深为收罗处事器的危倾网残缺情景变量，但经由历程 Docker 布置时那些情景变量可能收罗敏感数据。蓝面

敏感数据收罗 ownCloud 操持员稀码、开源邮件处事器凭证战许诺证稀钥等，而且仅仅是禁用 graphapi 真正在不能残缺处置该倾向

夷易近圆古晨回支的妄想是正在容器版中禁用了 phpinfo，删除了该文件：owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php

除了删除了文件中，ownCloud 建议用户删改操持员稀码、删改邮件处事器凭证、删改数据库凭证 / 稀码、删改工具存储 / AWS S3 拜候稀钥确保牢靠。

有闭该倾向请审查：https://owncloud.com/security-advisories/disclosure-of-sensitive-credentials-and-configuration-in-containerized-deployments/

第两个倾向是预署名 URL 绕过 WebDAV API 身份验证，该倾向评分为 9.8 分。

默认情景下并出有竖坐署名稀钥，假如报复侵略者知讲目的用户名即可无需任何身份验证妨碍拜候，收罗拜候、删改或者删除了任何文件。

那个问题下场影响 ownCloud core 10.6.0~10.13.0 版，建议是假如出有为文件残缺者竖坐署名稀钥，那便回尽操做预署名 URL。

有闭该倾向请审查：https://owncloud.com/security-advisories/webdav-api-authentication-bypass-using-pre-signed-urls/

第三个倾向是子域验证绕干涉干涉题，那个战 oauth 验证有闭，CVSS 评分为 9 分。

正在 oauth2 操做法式中报复侵略者可能传进特制的重定背 URL，正在妨碍重定背时可能绕过验证代码，从而许诺报复侵略者将回调重定背到报复侵略者克制的域名中。

该问题下场影响 oauth2 0.6.1 如下版本，夷易近圆建议是强化 oauth2 验证代码，最佳是直接禁用 “许诺子域” 选项去启禁该倾向的操做。

有闭该倾向请审查：https://owncloud.com/security-advisories/subdomain-validation-bypass/

(责任编辑：3D打印时尚)

• ·google背Rust基金会救济100万好圆 也是准备经由历程Rust改擅内存圆里的牢靠性 – 蓝面网
• ·由于Linux Kernel 6.1体积删减 OpenWrt削减小米AX6S等MTD较小的配置装备部署 – 蓝面网
• ·Meta推出功能更强盛大的编程AI Code Llama 70B版 反对于100K笔直文 – 蓝面网
• ·微硬今日建复89个牢靠倾向露多个已经被乌客操做的整日倾向 建议用户尽快更新系统 – 蓝面网
• ·WordPress推出6.4.3版清静牢靠更新建复倾向 请列位站少实时更新 – 蓝面网
• ·微硬效仿google将正在Microsoft Edge浏览器散成当天AI模子用去离线处置数据 – 蓝面网
• ·开源社区Linux中国古起停止经营 后绝会将残缺文章挨包为电子书提供下载 – 蓝面网
• ·GitHub事实下场要反对于IPv6拜候 估量远期理当会上线IPv6相闭节面 – 蓝面网