Závažná zranitelnost ownCloud je masivně zneužívána

Přidávám info pro spoustu dalších. Nextcloudu se tento problém netýká.

A presne z duvodu takovych prukaku odmitam nasazovat 3rd party reseni.

Mno tohle je i chyba na straně tvůrce, že dává tyto 3rd party do veřejné části, kam může sáhnout každý. Musí tak počítat, že některý z nich může obsahovat něco, co může být zneužito. Tedy měl zajistit, že se tak nesmí stát.

Klasické frameworkové aplikace mají vendor v neveřejné části.

Takze veskery svuj kod pisete od piky? :-) Pocinaje kernelem a systemovymi knihovnami, protoze i to je svym zpusobem 3rd party reseni.

Tak pockat pockat, firmware sa tiez sam nenapise! :-D

A dost možná bude bezpečnější přejít na TTL diskrétní báze.

U integrovaneho obvodu nikdy nevite, co je vevnitr... a jestli v te 7401 jsou opravdu jen ANDy a neni tam nejake kurvitko navic, co vam z ANDu obcas udela treba XOR... :-)

Pro toho, kdo vymyslel předávání citlivých údajů do kontejneru přes ENV, je v pekle vyhrazeno extra šťavnaté místo ;-)

Jakým jiným způsobem se mají předávat? Kromě toho, že proměnné prostředí nemusíš použít na nic, tak nejsou zrovna něco, co může jen tak cestovat éteru. Větší problém je, že PHP se i v roce 2023 chová pořád jako lepší šablonovací systém. Všechno, co normální jazyk vypíše na stdout, se v PHP dostane do prohlížeče. Zatímco v jiných jazycích člověk velmi precizně určuje, co má jít ven a co naopak do logu, tak v PHP je výchozí chování to, že všechno jde ven. To, že pouhým uvedením "phpinfo()" do nějakého souboru dojde k vyzrazení veškerých detailů o systému je větší problém, než předávání hesel přes proměnné prostředí.

===
Jakým jiným způsobem se mají předávat?
===

Co třeba to uložit v kontejneru do souboru, samozřejmě mimo dosah http?

No .. nakonec to bude číst kód, který v dosahu web serveru je a ten to může printnout do odpovědi stejně jako to udělalo to phpinfo().

Způsobit takovouhle chybu v PHP je úplně jednoduché a je vcelku jedno, jak se tam pracuje se secrety.

Pokud si dobře pamatuji, tak tohle chování, včetně celého phpinfo šlo zakázat prostou změnou v konfiguračním souboru. Že se to tak neděje je věc jiná.

$ php -r 'phpinfo();'
PHP Fatal error: Uncaught Error: Call to undefined function phpinfo() in Comman
d line code:1
Stack trace:
#0 {main}
thrown in Command line code on line 1

Nenechávat v ENV povalovat secrety napospas všem procesům v tom kontejneru je prostě jednou z vrstev zabezpečení. Kdo to udělal, ten nemá problém ani přes selhání vývojáře 3rd party knihovny, který tam nechal ladící kus a selhání vývojáře owncloudu, který tu knihovnu nasadil a neprověřil.

A je to zcela nezávisle na jazyku. Díra, která umožní vymámit z serveru ENV může být klidně ve webserveru.

No to není vrstva zabezpečení. Vrstva zabezpečení je třeba nepouštět ven všechno, co pošlu na stdout.

"selhání vývojáře owncloudu"
"selhání vývojáře 3rd party knihovny"

Nikdy to není selhání jednoho člověka. Pokud to tak u vás je a ukazujete prstem př každém problému, tak sice máte toxické pracovní prostředí, ale nulovou bezpečnost.

Jedna věc je díra, druhá věc je design flaw.

Nechci nic říkat, ale pokud máte "v tom kontejneru" víc jak jeden process (teď nemyslím forky), tak neumíte pracovat s kontejnery ;-) Zrovna třeba při architektuře php-fpm<->webserver, webserver patří do vlastního kontejneru.

V linuxu je ale kazdy proces krome initu forkem jineho procesu, takze nevim, jak presne to myslite :-)

Ale docela umim. Treba podle vaseho komentu poznam, ze vy znate jen kontejnerove technologie, kde se to dela vetsinou jak pisete (docker, podman) a jine, kde je bezne mit v kontejneru v podstate cely OS krome kernelu, tedy treba LXC/LXD) vubec neznate :-)

A proto vývojáři přidali do `docker run` přepínač --init.

Rozumiem tomu správne, že problém je obyčajná phpinfo()? Nikdy by mi nenapadlo, že táto funkcia môže napáchať problém. Áno, prezradí nejaké informácie o webovom serveri, verzie knižníc a podobne. Ale to by samo o sebe nemal byť problém. Alebo je v tom zdrojáku ešte niečo špeciálne?

Phpinfo() prozradi ENV... A kdyz se spouští owncloud v kontajneru, tak jsou v ENV citlivá data.

2. 12. 2023, 22:16 editováno autorem komentáře

> Nikdy by mi nenapadlo, že táto funkcia môže napáchať problém.

Tohle je ale nezbytná podmínka pro nějaký pořádný průšvih. Když někoho napadne, že by to mohl být problém, tak to obvykle ošetří.
A pak stačí aby se potkalo pár takových "neškodných" drobností a je to.

Takže na tuhle úvahu pozor.

> ownCloud admin password

Nemělo by být hashované a vůbec se na serveru nenacházet? :-) (ale chápu že třeba nemají vhodné interní API a takhle to obcházejí)

No tam je problem to, jakym zpusobem se ten kontejner spousti... ty promenne pri nevhodnem nastaveni leaknout muzou...