ownCloud on kliendi-serveri tarkvara, mis annab administraatoritele mitu õigust, näiteks käskude täitmine, toimides kavandatud kasutajana, tehes soovitud ülesannete täitmiseks sisuliselt teist kasutajat. Turvalisuse kaalutlustel saavad rühmaadministraatorid teha asju ainult grupikaaslastest kasutajate katuse all. Hoolimata sellest, et see meede on rakendatud, möödub kasutaja teisena esinemisega seotud autoriseerimise kasutamine rünnakust.
Haavatavuse avastas Thierry Viaccoz esmakordselt 15. päevalthmärtsist. Esimene müüja teade saadeti 16thmärtsil ja müüja vastas samal päeval kinnitusteatega. Veidi rohkem kui kuu hiljem ilmus 17-ndal tarkvaraversiooni 0,2.0 parandatud versioonthmärtsil ja asja avalikustamise kuupäevaks määrati 29thaugustist, mis oli vaid mõni päev tagasi.
See haavatavus mõjutab ownCloudi versiooni 0.1.2. Versiooni 0.2.0 ei leitud. Teisi ownClouci versioone pole veel testitud, kuid kahtlustatakse, et vanemad versioonid võivad olla sama defekti suhtes tundlikud nagu versioonis 0.1.2.
Sellele kõrge riskiga haavatavusele pole veel CVE identifitseerimismärki määratud. Selle juhtumit jälgitakse siiski CSNS ID sildi CSNC-2018-015 all. Haavatavus on kaugkasutatav ja see mõjutab ownCloudi teesklust.
Selle rünnaku taastamiseks peate kõigepealt looma kaks rühma (g1 ja g2). Järgmisena peate looma neli kasutajat nende rühmade abil: test1, rühm 1, grupi admin = rühm 1; test 2, rühm 1, grupi admin = gruppi pole; test 3, rühm 2, grupi admin = rühm 2; test 4, rühm 2, grupi admin = gruppi pole.
Selle probleemi kõige olulisem leevendamine, lahendamine ja / või parandamine on kasutajatele mõeldud nõuandlus pidevalt teiste inimeste volitusi kontrollida, et takistada grupi administraatoritel esineda teiste inimeste või rühmadena.
