首页 > 安全钻研 > 安全传递 > 安全公告

云存储利用越权接见和文件上传缝隙安全公告

颁布功夫 2019-11-18

缝隙编号和级别

CVE编号：暂无，危险级别：高危，CVSS分值：官方未评定

影响领域

据统计，使用国内主流厂商云存储服务的安卓APP数量为4148个。抽样检测了局显示，受此缝隙影响的利用比例达70%。

缝隙概述

云存储是云推算基础上延长和衍生发展出来的新概想，综合选取散布式处置、并行处置和网格推算等伎俩，将网络中分歧类型的存储设备通过利用软件集中起来协同工作，对表提供统一的数据存储和业务接见职能。云存储在移动APP、网页版法式、APP幼法式（以下简称云存储利用）等场景得到了宽泛利用。用户接见云存储数据时，进行署名要求的密钥有永约钥和一时密钥两种方式。

云存储利用由于配置不当，存在越权接见和文件上传缝隙：使用一时密钥进行文件上传的云存储利用，不足对文件（存储桶）接见或上传蹊径（存储桶）的权限限度，导致文件（存储桶）越权接见或文件上传缝隙；使用永约钥为文件上传要求署名的云存储利用，不足对永约钥的必要�；�，产生肆意蹊径文件（存储桶）的越权接见和文件上传缝隙。攻击者利用上述缝隙，通过云存储利用破解或网络抓包获得永约钥或一时密钥，实现对云存储中的文件数据的窃取，甚至篡改用户保留在云存储中的数据文件。

缝隙验证

暂无EXP/POC。

建复建议

目前官方尚未颁布缝隙建复补丁。

一时建复建议：

建议云存储利用开发者选取如下方式建复缝隙：

1、选取一时署名上传文件的云存储利用：凭据业务场景将服务端天生的一时密钥权限更新至最幼，限造文件的上传蹊径和上传的指标存储桶，去除读文件、列存储桶、列对象、覆盖文件等非业务必要权限。

2、选取永约钥署名上传文件的云存储利用：更新客户端和服务端上传逻辑，改为用最幼权限的一时密钥方式或者PUT方式进行上传。

参考链接

https://www.cnvd.org.cn/webinfo/show/5291

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

云存储利用越权接见和文件上传缝隙安全公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线