漏洞信息详情

OwnCloud Desktop Client 安全绕过漏洞

• CNNVD编号：CNNVD-201510-595
• 危害等级： 中危
  
• CVE编号： CVE-2015-4456
• 漏洞类型：
• 发布时间： 2015-10-27
• 威胁类型： 远程
• 更新时间： 2015-10-27
• 厂        商： owncloud
• 漏洞来源：

漏洞简介

ownCloud是德国OwnCloud公司的一套免费且开源的个人云存储解决方案，它提供文件管理、音乐存储、日历等功能。ownCloud Desktop Client是一个用于连接ownCloud服务器的桌面客户端。

OwnCloud Desktop Client 1.8.2之前版本中存在安全漏洞，该漏洞源于程序调用不正确的‘QNetworkReply：：ignoreSslErrors’函数时会忽略列表中的的错误。攻击者可借助self-signed证书和与服务器的连接，利用该漏洞绕过用户设置的‘证书不可信’的操作，获取敏感信息。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://owncloud.org/security/advisory/?id=oc-sa-2015-009

参考网址

来源:github.com

链接:https://github.com/owncloud/client/issues/3283

来源:owncloud.org

链接:https://owncloud.org/security/advisory/?id=oc-sa-2015-009

受影响实体

• Owncloud Owncloud_desktop_client:1.8.1  

补丁

• OwnCloud Desktop Client 安全绕过漏洞的修复措施