OwnCloud, l'alternative à Dropbox, truffée de vulnérabilités sur Ubuntu 14.04

Par
Le 27 octobre 2014
 0
Les développeurs de la suite Owncloud ont prévenu d'une série de vulnérabilités touchant les utilisateurs d'Ubuntu 14.04.

00c8000003776856-photo-ubuntu-logo-sq-gb.jpg
A l'ère post-snowden, Owncloud a su attirer les internautes recherchant une solution de synchronisation sans devoir nécessairement passer par les serveurs d'une grande société américaine. L'alternative open source à Dropbox, OneDrive, iCloud ou Google Drive, propose d'installer un paquet sur son propre serveur, sur son NAS ou encore sur n'importe quel hébergeur compatible avec PHP/MySQL.

Sur la liste de diffusion officielle d'Ubuntu, un membre du projet d'Owcloud a envoyé un email en expliquant qu'il était urgent de retirer le fichier d'installation fourni pour l'édition 14.04 Trusty Tahr d'Ubuntu. « Ces versions sont toutes vulnérables à plusieurs bugs de sécurité critiques et aucun correctif n'a été déployé », affirme ainsi Lukas. Il ajoute que ces vulnérabilités permettent à un tiers de prendre le contrôle complet du serveur Web.

L'homme ajoute qu'OwnCloud ne déploiera aucun correctif, la société ne disposant pas des ressources nécessaires pour vérifier son service sur l'ensemble des différentes versions des distributions GNU/Linux. Pourtant Marc Deslauriers, responsable de la sécurité chez Canonical, explique qu'il n'est pas possible de retirer des paquets d'installation pour les précédentes versions de la distribution GNU/Linux ; Ubuntu 14.10 étant disponible depuis la semaine dernière.

Il encourage alors l'équipe d'OwnCloud à assurer la rétro-compatiblité de la dernière version de son paquet sur Ubuntu 14.04 ou à créer un nouveau paquet vide proposé sous la forme d'une mise à jour et qui aurait pour effet d'effacer complètement OwnCloud.

Le problème est d'autant plus important qu'Ubuntu 14.04 est une version LTS - à support étendu - notamment utilisée en entreprises.« Je suis un peu confus par cette réponse », affirme Lukas, avant d'ajouter : « c'est donc un choix délibéré d'Ubuntu d'intégrer des logiciels totalement obsolètes avec des vulnérabilités connues ». Il ajoute ne pas avoir rencontré de problèmes sur les autres distributions GNU/Linux pour retirer le paquet en question.

Modifié le 01/06/2018 à 15h36
scroll top