轉發關于云存儲應用存在越權訪問和文件上傳漏洞的安全公告

轉發關于云存儲應用存在越權訪問和文件上傳漏洞的安全公告

瀏覽次數:

作者:CNVD

來源: 國家信息安全漏洞共享平

發布時間:2019-12-11 16:10

內容簡介:2019年10月28日,國家信息安全漏洞共享平臺(CNVD)收錄了由騰訊安全玄武實驗室發現并報送的云存儲應用越權訪問和文件上傳漏洞(CNVD-2019-37364)。攻擊者利用該漏洞,可在越權的情況下,遠程讀取、修改云存儲中的內容。目前,漏洞相關細節未公開,漏洞影響范圍和危害較大。

  • 文章內容
  • 相關內容
安全公告編號:CNTA-2019-0038

2019年10月28日,國家信息安全漏洞共享平臺(CNVD)收錄了由騰訊安全玄武實驗室發現并報送的云存儲應用越權訪問和文件上傳漏洞(CNVD-2019-37364)。攻擊者利用該漏洞,可在越權的情況下,遠程讀取、修改云存儲中的內容。目前,漏洞相關細節未公開,漏洞影響范圍和危害較大。

一、漏洞情況分析

云存儲是云計算基礎上延伸和衍生發展出來的新概念,綜合采用分布式處理、并行處理和網格計算等手段,將網絡中不同類型的存儲設備通過應用軟件集合起來協同工作,對外提供統一的數據存儲和業務訪問功能。云存儲在移動APP、網頁版程序、APP小程序(以下簡稱云存儲應用)等場景得到了廣泛應用。用戶訪問云存儲數據時,進行簽名請求的密鑰有永久密鑰和臨時密鑰兩種方式。

騰訊安全玄武實驗室研究發現云存儲應用由于配置不當,存在越權訪問和文件上傳漏洞:使用臨時密鑰進行文件上傳的云存儲應用,缺乏對文件(存儲桶)訪問或上傳路徑(存儲桶)的權限限制,導致文件(存儲桶)越權訪問或文件上傳漏洞;使用永久密鑰為文件上傳請求簽名的云存儲應用,缺乏對永久密鑰的必要保護,產生任意路徑文件(存儲桶)的越權訪問和文件上傳漏洞。攻擊者利用上述漏洞,通過云存儲應用破解或網絡抓包獲得永久密鑰或臨時密鑰,實現對云存儲中的文件數據的竊取,甚至篡改用戶保存在云存儲中的數據文件。

CNVD對該漏洞的綜合評級為“高危”。

二、漏洞影響范圍

漏洞影響情況如下:

騰訊安全玄武實驗室阿圖因系統分析結果顯示,使用國內主流廠商云存儲服務的安卓APP數量為4148個。抽樣檢測結果顯示,受此漏洞影響的應用比例達70%。CNVD平臺已于10月28日完成對上述受影響APP的云服務廠商通報工作。

三、漏洞處置建議

CNVD建議云存儲應用開發者采用如下方式修復漏洞:

1、采用臨時簽名上傳文件的云存儲應用:根據業務場景將服務端生成的臨時密鑰權限更新至最小,限定文件的上傳路徑和上傳的目標存儲桶,去除讀文件、列存儲桶、列對象、覆蓋文件等非業務必要權限。

2、采用永久密鑰簽名上傳文件的云存儲應用:更新客戶端和服務端上傳邏輯,改為用最小權限的臨時密鑰方式或者 PUT 方式進行上傳。

CNVD建議云存儲服務提供商一方面進行漏洞排查,通知云存儲用戶自查和修復,并提供必要的技術支持;另一方面完善云存儲的使用說明文檔,提醒云存儲用戶錯誤配置可能導致的安全問題,并針對常用場景給出配置策略建議。

聲明:本文文字、圖片等素材除標明原創外均采集于網絡,如有侵權,請及時告知我們,我們將在最短的時間內刪除。
  • 620點擊
    國家信息安全漏洞共享平臺(以下簡稱CNVD)本周共收集、整理信息安全漏洞443個,其中高危漏洞198個、中危漏洞181個、低危漏洞64個。漏洞平均分值為6.50。本周收錄的漏洞中,涉及0day漏洞107個(占24%),其中互聯網上出現“Invox...
  • (^ω^)MG东方珍兽app 山东十一选五当前最大遗漏 金蟾捕鱼516棋牌游戏 如何赌博才能长期赢钱 捕鱼达人2破解版 博利真人百家乐 内蒙古快三3开奖直播 特肖计算方法 体育彩票排列三 悠洋棋牌官方下载 微乐龙江麻将破解 2012快船vs热火 快乐十分定胆杀号技巧 湖北十一选五最大遗漏任五 华东15选5新浪 168彩票网 辉煌棋牌下载软件