Los investigadores de seguridad están siguiendo la pista de lo que consideran la "explotación masiva" de una vulnerabilidad de seguridad que permite hacerse con el control total de los servidores que ejecutan ownCloud, una aplicación de código abierto para compartir archivos. La vulnerabilidad, cuya gravedad máxima es de 10, permite obtener contraseñas y claves criptográficas que permiten el control administrativo de un servidor vulnerable mediante el envío de una simple petición Web a una URL estática.
Comentarios
https://help.nextcloud.com/t/does-cve-2023-49103-affect-nextcloud/175381
/thread
#4 Gracias, entraba justo para esto
#4 duplico el comentario de #5
#5 Veo muchas gracias a #4 pero pocos positivos, cuando su comentario debería estar naranja chillón.
#26 La verdad que es que no estoy en el tema ese de los votos y el karma… pero si, tienes razón , es de bien nacido el ser agradecido:)
pwned
La vulnerabilidad, cuya gravedad máxima es de 10
"La vulnerabilidad, cuya gravedad es la máxima, que es 10 en una escala de 1 a 10."
Vaya birria de traducción.
The vulnerability, which carries the maximum severity rating of 10
En inglés sí que se entiende.
The “graphapi” app relies on a third-party library that provides a URL. When this URL is accessed, it reveals the configuration details of the PHP environment (phpinfo). This information includes all the environment variables of the webserver. In containerized deployments, these environment variables may include sensitive data such as the ownCloud admin password, mail server credentials, and license key.
un clasico
#3 ¿Hay alguna razón, aparte de la comodidad, para no usar un archivo en secrets para los datos sensibles?
#6 Aqui el problema no esta donde se almacenan los datos sensibles, si no en que phpinfo , en este caso los puede llegar a exponer. Y es que eprmitir el accesso a phpinfo es algo que representa una terrible idea, porque en el mejor de los casos solo muestras datos del sistema, y en el peor... pues lo que estamos viendo aqui hoy.
#15 3 ½ o 5 ¼
3¼ no lo tuve
#21 Cierto, se me ha ido
#17 tengo owncloud por la única razón de sincronizar RSS cuando cerró google reader, y creo que sigue siendo la opción «facil» y barata. Feedly y demás por web que no tienes busquedas gratis, y por aplicación algo que con thunderbird en sencillo de todo entre PCs entre móviles y PC no encuentro nada.
Para otras cosas como editar y demás las usé, pero lo mantengo solo por los RSS, lo cual es absurdo.
#16 #17 #18 tengo un nextcloud en un vps y me resulta más como un espacio colaborativo estilo office 365 que un drive o dropbox.
Lo uso porque lo tengo que usar pero me da la sensación de que no es lo más óptimo, como que me encuentro más cómodo en mi NAS de Synology. Alguna alternativa?
#27 no puedo opinar mucho más fuera de las RSS, otra cosa que considero buena es que tiene un buscador semántico, para buscar dentro de de documentos en varios formatos(imagino que es más habitual ahora) pero es algo que suelo hacer en el ordenador, no en nube(lo cual hace que sea aún más peligroso esta vulnerabilidad) y con lo mismo para libros ya que hay script para que algunos libros electrónicos sincronice con owncloud lo mismo que Calibre, pero es algo que probé y pocas veces usé a mayores de ver cómo funcionaban.
#20 Yo con Jellyfin solo uso x264, y x265 (HEVC) que es lo que mejor funciona sin transcoding por que se lo come sin problemas Android, ios, navegadores etc
Yo también soy quisquilloso con la calidad del video. Me gusta en esos dos formatos (Preferiblemente HEVC 10bit) y que tenga el audio dual y subtitulos. Normalmente en la mula encuentro todo sin problemas.
"¿Discos duros? Que antiguo y que desperdicio, si hoy en día puedes tener todo en la nube" Fdo: el 95% de los cuñados que tengo por amigos, familiares y amistades variadas
#8 Luego está la gente que levanta una ceja cuando dices que tienes un NAS
Hoy por hoy, se reunen los requisitos optimos para el self-hosted: Todo el mundo tiene buen ancho de banda, los discos duros son baratos y hay mini pcs baratos con procesadores rcomo el N100 que consumen muy poco y permiten tener un servidor 24/7 por aproximadamente 1eur al mes en consumo eléctrico.
Nos tienen un poco comida la cabeza con "la nube"
#10 bueno, no todo el mundo tiene la capacidad técnica. Tampoco diría que los discos duros sean algo barato (tengo en mente cambiar mi HDD que tengo de almacén multimedia y me planto en 300€...se que no es lo que todo el mundo necesita, xo tp me parece algo disparatado para almacenar una buena colección de contenido)
Pero si que es accesible para mucha gente alrededor mía (porque se que tienen posibilidades económicas y conocimientos) y pecan de una ingenuidad tecnológica/adoración a alguna empresa que roza la parafilia, que asusta
#11 300€ pero que cacharrazo quieres comprar?
#12 digamos que ya tengo petado el disco de 10TB
También sé que normalmente la gente no tiene el sindrome de acumulación digital que yo tengo (ahora estoy en modo rebajarme cosas de esas que tenía que cabían en un CD pero a calidades más propias de estos tiempos, mas que a bajarme masivamente cosas)
#13 Wow, veo que te estas montando un "internet archive" en paralelo
#14 Empecé bajandome Internet en un diskete de 31/4 pero mi abuela me pidió que le bajara "Amar en tiempos revueltos" y ya empezó a no caber.
#11 Yo también tengo un poco de síndrome de diogenes digital.
Pero la verdad es que lo mejor es ir haciendo limpieza de lo que ya hayas visto o ya no vayas a ver y si tienes servidor Jellyfin echar un ojo por si borras alguna serie que esta viendo actualmente algún amigo
#19 Más que lo que haya visto (que también, sobre todo cosas que no me gustan o que son fácilmente encontrables para hacer espacio provisional), que en ese disco también tengo carpetas BackUp de ordenadores anteriores y tiene que haber cosas redundantes (o que pueda borrar). Pero me gusta mantener mucho de lo visto porque nunca se sabe cuando me dan ganas de volver a verlo (sobre todo cuando lo echan por la tele y llego tarde/no quiero ver anuncios), y tener archivo para extraer ciertos fotogramas/audio (razón con menos peso), y bueno, que mi pareja y mi vecino hay mucho de lo que tengo que no han visto, o conocidos que les termino pasando cosas.
). Que mi señora agradece que tenga un poco de esto, porque como dice ella "Me voy al Netflix y me parece todo una mierda.....me voy al Emby y me falta ponerme el monóculo ¡Un término medio, joder!"
Bueno, y típico error de confiar en mi pareja y "dejame el disco con las pelis [uno secundario que tenia por entonces] que se lo dejo a un amigo que tambien tiene un monton y nos lo devuelve con su colección" y su colección es una mierda para mis estándares (en calidad de fichero y calidad de peli
El Jellyfin hoy mismo se lo recomendaba a un amigo. Yo lo tengo aparcado por pereza (a ver si le pego una vuelta al SO y aprovecho) y porque la ultima vez que miré había un formato que tengo cosas y no lo admitía (¿FLAC?¿Videos codificados a 265? hablo de memoria)
Edit, pero sí, de más de 1000 pelis, cuando me pongo en plan "algo de espacio tengo que hacer" siempre se encuentra algo
#10 el autoalojamiento es el mercado principal de Owncloud. Lo de #8 tiene un pase, pero si te montas un servidor para NAS un paso muy pequeño más es meter Owncloud.
#16 Yo llevo tiempo estudiando poner servicios en un minipc para complementar al nas pero owncloud/nextcloud no me convencen por estar en PHP, se que es una tontería pero tal vez si hubiera algo similar en rust o golang aunque tuviera menos características lo probaría
#17 temes que los millones de personas que vayan a acceder a tu nube personal, puedan tumbar tu servidor al tener que interpretar los scripts php.
Sabes que php a evolucionado mucho en los ultimos años y no es lo que era por el 2010 ...
Te recomiendo que veas este video:
#23 me apunto el video para verlo luego.
Lo de evitar PHP es por "optimizar" RAM aunque lo minipcs actuales llevan fácilmente 16GB