Tareas #5627

Vulnerabilidades detectadas en servicios de Nextcloud y Owncloud.

Added by Andrés Pías almost 4 years ago. Updated almost 3 years ago.

Status:En cursoStart date:04/17/2017
Priority:NormalDue date:
Assignee:Andrés Pías% Done:

90%

Category:-Spent time:7.00 hours
Target version:-

Description

Nos llega un aviso del CertUY, reenviado por Sergio acerca de que tenemos varios servicios con vulnerabilidades.
  • Daniel ya dejó fuera de servicio a los tres listados:
    • nube.csic.edu.uy
    • cloud.csic.edu.uy
    • nube.cse.udelar.edu.uy
  • Por otro lado la nube del interior (nube.interior.edu.uy) está en su última versión y no requiere detención porque ya esta actualizado.
  • Hay que ver a nube.cci.edu.uy y nube.cure.edu.uy en que estado están.
  • Me está faltando algún OC o NC que no listé acá?
  • Hay que comunicar a los usuarios correspondientes el corte de etsos servicios

Doy de baja preventivamente, por favor ver con los usuarios.

verificar en la red de la Udelar los otros OC o NC

-------- Mensaje reenviado --------
Asunto: Fwd: [rt.cert.uy #21075] Servicios De Nube Privada Listados Como Vulnerables.
Fecha: Mon, 20 Mar 2017 17:57:58 -0300 (UYT)
De: Sergio Ramirez

Estimados:

Recibimos un aviso del CertUY que el servicio que se lista más abajo
puede tener problemas de seguridad ya que presenta vulnerabilidades conocidas.

Se recomienda que se actualicen las versiones del software involucrado a las
versiones más recientes.

Saludos =======================================================================
Sergio Ramírez =======================================================================

Estimado Integrantes de SeCIU:

Nuestros sistemas de monitoreo han detectado que los servicios de
repositorio
de archivos de los siguientes dominios:

nube.csic.edu.uy

cloud.csic.edu.uy

nube.cse.udelar.edu.uy

se encuentran listados como vulnerables.

Se recomienda actualizar a la última versión estable de dichos
servicios para
solucionar así las vulnerabilidades mencionadas. Al día de hoy la
versión es:
“9.1.4 Feb 2 2017”.

Adjuntamos información correspondiente a la versión actual detectada
para el
servicio afectado, para la cual existen vulnerabilidades conocidas.

Desde ya quedamos a las órdenes para lo que pueda necesitar,

Enyer Torres

CERTuy - Centro Nacional de Respuesta a Incidentes de Seguridad


1797 | 164.73.68.34 | UY | 2017-03-13 03:35:47 |Running ownCloud 7.0.4.2| critical | 80 | nube.csic.edu.uy
Actualizar Version en lista negra
Contacto:cont-dns@******
Vulnerabilidades.
Bypass of file blacklist on Microsoft Windows Platform
Bypass of file blacklist
Local file inclusion on MS Windows Platform
Command injection when using external SMB storage
PHP arbitrary class instantiation in "files_external"


1797 | 164.73.68.93 | UY | 2017-03-13 04:27:28 |Running ownCloud 9.0.5.2| high | 443 | cloud.csic.edu.uy
Actualizar version
Contacto:cont-dns@*****
Vulnerabilidad: SMB User Authentication Bypass


1797 | 164.73.68.56 [lookup IP][Add IP] | UY | 2017-02-13 00:36:01 | 9d0ecebd-b44c-4fb8-9351-13583e828f30 | high | 80 | nube.cse.udelar.edu.uy [lookup host]
Contacto:cont-dns@******
Vulnerabilidad: SMB User Authentication Bypass
Running Nextcloud 9.0.53.0



Subtasks

Tareas #5652: Actualización de cloud.csicResueltaSebastián Sasías

Tareas #5653: Actualizar nube.cciResueltaDaniel Viñar Ulriksen

Tareas #5663: Actualización de nube.cseCerradaLeroy Deniz


Related issues

Related to Comisión Coordinadora Interior - Tareas #5413: Instalación de NextCloud Cerrada 07/04/2016
Related to Servicios de nube - Tareas #5628: Instalación de NextCloud de Pruebas Cerrada 03/28/2017
Related to Servicios de nube - Tareas #5630: Configurar cortafuegos para servidor Nobel Cerrada 03/30/2017

History

#1 Updated by Andrés Pías almost 4 years ago

  • Description updated (diff)

#2 Updated by Andrés Pías almost 4 years ago

  • Status changed from Nueva to En curso

La nube del interior quedó actualizada así:

sudo apt-get update && sudo apt-get upgrade

Deshabilitamos el modulo de mantenimiento:
root@freud:/var/www/owncloud# sudo -u www-data php ./occ maintenance:mode --off

Hacemos el upgrade desde linea de comandos:
root@freud:/var/www/owncloud# sudo -u www-data php ./occ upgrade

#3 Updated by Andrés Pías almost 4 years ago

#4 Updated by Andrés Pías almost 4 years ago

  • % Done changed from 0 to 10

La Vulnerabilidad: SMB User Authentication Bypass para Netcloud está documentada en este reporte.

Al parecer el Nextcloud de CCI se instaló de forma manual: Por eso haremos un upgrade manual tambien bajando el paquete con wget:

Pero esto se tiene que probar en otro lado antes.

#5 Updated by Andrés Pías almost 4 years ago

  • Related to Tareas #5628: Instalación de NextCloud de Pruebas added

#6 Updated by Andrés Pías almost 4 years ago

Partiendo de la versión recientemente instalada en Coati con #5628, aplicamos la guía :

cd /var/www/nextcloud/
sudo -u www-data php occ maintenance:mode --on
service apache2 stop

(HACER un respaldo.)
cd ..
mv nextcloud nextcloud-old
cd

La ultima version al dia de hoy es la 57:
wget https://download.nextcloud.com/server/releases/nextcloud-9.0.57.tar.bz2
tar -vxjf nextcloud-9.0.57.tar.bz2
sudo mv nextcloud /var/www
 ./nextcloud_permisions.sh

Copiar config y data:
cp nextcloud-old/config/config.php nextcloud/config/
mv nextcloud-old/data nextcloud/

solo si faltan aplicaciones en la nueva version hay que copiar la carpeta app desde "... old" si no no se copia
Ajustes:
chown -R www-data:www-data /var/www/nextcloud/
service apache2 restart

Acutalizar con occ:
/var/www/nextcloud# sudo -u www-data php occ upgrade

Lo desactivamos el modo mantenimiento y listo:
sudo -u www-data php occ maintenance:mode --off

#7 Updated by Andrés Pías almost 4 years ago

  • Related to Tareas #5630: Configurar cortafuegos para servidor Nobel added

#8 Updated by Andrés Pías almost 4 years ago

  • % Done changed from 10 to 20

Actualización de Nube.CCI

Servicio:
/var/www/html/nextcloud
Datos:
/opt/nextcloud/
  • Procedimos de manera similar a como habíamos procedido antes:
    cd /var/www/html/nextcloud/
    sudo -u www-data php occ maintenance:mode --on
    service apache2 stop
    
  • Al detener los servicios hacemos un respaldo completo de pandeazucar desde la interfaz de backuppc.
  • Me creé un usuario y subí un archivo.
  • Continuamos:
    cd ..
    mv nextcloud nextcloud-old
    cd
    wget https://download.nextcloud.com/server/releases/nextcloud-9.0.57.tar.bz2
    tar -vxjf nextcloud-9.0.57.tar.bz2
    sudo mv nextcloud /var/www/html/
    
  • Corremos permisos que (script definido por Daniel)
    ./permisos.sh
    
  • Copiamos config.php, el data lo dejamos "quietito" en opt:
    cd /var/www/html
    cp nextcloud-old/config/config.php nextcloud/config/
    

    Al bajar esta versión no tiene 4 módulos que teníamos antes: bookmarks, calendar, contacts y documents.
    Decidimos no copiar del directorio viejo porque no son módulos de 3eras partes en si, son de Owncloud.
    Sigamos a delante y luego los activamos desde la parte web los módulos faltantes.
  • Permisos y upgrad:
    chown -R www-data:www-data /var/www/html/nextcloud
    sudo -u www-data php occ upgrade
    
  • Efectivamente hace un update de estos módulos:
    You may use your browser or the occ upgrade command to do the upgrade
    Set log level to debug
    Checking whether the database schema can be updated (this can take a long time depending on the database size)
    Checked database schema update
    Checking updates of apps
    Checked database schema update for apps
    Updating database schema
    Updated database
    Disabled 3rd-party app: bookmarks
    Disabled 3rd-party app: calendar
    Disabled 3rd-party app: contacts
    Disabled 3rd-party app: documents
    Updating <theming> ...
    Updated <theming> to 0.2.0
    Update 3rd-party app: bookmarks
    Update 3rd-party app: calendar
    Update 3rd-party app: contacts
    Update 3rd-party app: documents
    Update successful
    Maintenance mode is kept active
    Reset log level
    
  • Y efectivamente te crea los directorios que faltan en /app:
    drwxr-x--- 16 www-data www-data 4096 mar 31 16:03 ..
    drwxr-xr-x  9 www-data www-data 4096 mar 31 16:20 bookmarks
    drwxr-xr-x 11 www-data www-data 4096 mar 31 16:20 calendar
    drwxr-xr-x  9 www-data www-data 4096 mar 31 16:20 contacts
    drwxr-x--- 34 www-data www-data 4096 mar 31 16:21 .
    drwxr-xr-x 11 www-data www-data 4096 mar 31 16:21 documents
    

    Salimos del modo mantenimiento:
    sudo -u www-data php occ maintenance:mode --off
    

    Desde la interfaz Web hay que reactivar uno a uno los módulos:
    -documentos
    -calendar
    -contacts
    -bookmarks

Also available in: Atom PDF