Ranjivi ownCloud

Ako imate ownCloud instaliran na Ubuntu serveru i koristite prilagođeni Ubuntu paket, vaša instanca ownClouda, popularnog sustava za dijeljenje i sinhronizaciju datoteka, možda je ranjiva.

Razvojni inženjeri ownClouda upozorili su Ubuntu programere da uklone sve pakete "ownCloud server" sa svojih repozitorija, što je Ubuntu napravio, ali tek nakon nekoliko dana. Prva neobična stvar jest da Ubuntu nije u svojoj verziji uopće zakrpao ownCloud koji se tako ranjiv nudio za preuzimanje. A još je neobičnije što je Ubuntu na prvu odbio ukloniti pakete uz objašnjenje da nije moguće ukloniti paket iz "zamrznutog" repozitorija jer ga održava zajednica. Ostale distribucije poput Debiana napravile su to bez problema te je, konkretno, Debian omogućio preuzimanje isključivo posljednje, zakrpane verzije ownClouda (7.02) sa svog backports repozitorija. Ubuntu  je na kraju za preuzimanje ponudio ispravljenu verziju ownClouda, ali samo za verziju 14.10 (Ubuntu Utopic) i to tek pet dana nakon upozorenja. Dvije posljednje LTS verzije Ubuntua (12.04 - Precise i 14.04 - Trusty) još su na čekanju, bez ikakvih ownCloud server paketa. Čitav razvoj događaja možete pronaći ovdje. I, ako već niste, požurite s instalacijom nove verzije ownClouda.

Sve ovo pokazuje da, suprotno očekivanjima, čak ni najpopularnije Linux distribucije nisu ažurne u ispravljanju kritičnih ranjivosti. A nama ostaje stara dvojba, koristiti pakete prilagođene određenoj distribuciji koji možda su možda ranjivi ili se osloniti na originalne pakete čijom nadogradnjom možemo izazvati probleme, upravo zbog različitosti distribucija.