Dos fallos de seguridad en ownCloud obligan a publicar dos actualizaciones

Escrito por Adrián Crespo
Seguridad
0

Los responsables del servicio de almacenamiento en la nube se han visto obligados a publicar dos actualizaciones de seguridad al ser detectados dos problemas en el código de ownCloud. Para resolver el problema, los responsables del servicio también han publicada la versión 5.0.3 de la aplicación de escritorio para que los usuarios escojan entre aplicar las actualizaciones o pasar a la nueva versión de la aplicación.

Los desarrolladores del servicio de almacenamiento han emitido un comunicado recomendando no instalar las versiones 5.0.1 o y 5.0.2 si se trata del primer uso del servicio e instalar directamente la versión 5.0.3 que ya no posee los problemas de seguridad detectados. A pesar de que las actualizaciones solucionan algunos problemas más, los más importantes son el que permite inyección de código SQL y el que permite de forma remota ejecutar código utilizando la técnica XSS.

El problema de la base de datos

Ha sido un problema reportado por muchos usuarios. El software de ownCloud, de una forma que los usuarios desconocían, entraba en “Modo de mantenimiento” afirmando que una de las tablas principales de la base de datos no había sido encontrada. A partir de este momento, el software quedaba totalmente inutilizado. El problema residía en que una persona de forma totalmente remota podía hacer que el programa entrase en este modo modificando las bases de datos generadas y utilizadas por el programa.

A pesar de que en la actualidad ya existe un parche, algunos usuarios decidieron tratar de volver a hacer funcionar el programa deshabilitando dicho modo de funcionamiento del programa. Sin embargo, eso no resolvía el problema de la inyección de código en la base de datos.

Problema de ejecución remota de código

La utilización de la técnica XSS estaba relacionada con el problema anterior. De la misma forma que el atacante podía permitirse ejecutar acciones en la base de datos del programa, como el programa había sido autorizado para llevar a cabo determinadas acciones en Windows, se detectó que por un problema de seguridad, una tercera persona podría haber intentado ejecutar comandos en el sistema, pudiendo haber llegado a conseguir permisos de administrador del mismo.

De este problema no se tiene constancia de que nadie se haya visto afectado, pero a pesar de todo, los usuarios también disponen de una actualización que soluciona el mismo.

Si se quieres descargar la nueva versión y obtener información de la misma puedes hacerlo desde aquí.

Fuente | The H Security