Nextcloud: Lücken in Apps gefährden Nutzerkonten und Datensicherheit
In mehreren Erweiterungen, etwa zur Lastverteilung, zur Anmeldung per OAuth und ZIP-Download, klaffen Löcher. Updates sind bereits verfügbar.
(Bild: Nextcloud)
Sicherheitsforscher haben in einigen Apps für die Kollaborationsplattform Nextcloud Lücken entdeckt, die vor allem den Einsatz in Unternehmen gefährden. Eine der Lücken kann kritische Auswirkungen haben, während andere mittleren und niedrigen Schweregrads sind.
Besonders heikel ist ein Fehler in der Passwortüberprüfung der App "Global Site Selector", die bei größeren Nextcloud-Installationen für Lastverteilung sorgt. Die als kritisch eingestufte Lücke (CVE-2024-22212, CVSS 9,6/10) ermöglicht Angreifern, sich als ein anderer Nutzer anzumelden, sofern sie über ein beliebiges Nutzerkonto auf dem Zielsystem verfügen. Alle Versionen nach 1.1.0, 2.0.0, 2.1.0, 2.2.0, 2.3.0 und 2.4.0 sind betroffen, geflickte App-Ausgaben tragen die Versionsnummern 1.4.1, 2.1.2, 2.3.4 und 2.4.5.
Zwei Lücken mittleren Schweregrads mit den CVE-IDs CVE-2024-22402 (CVSS 5,4/10) und CVE-2024-22401 (CVSS 4,1/10) betreffen die App "Guests", in der Nutzer nach Belieben die Liste erlaubter Anwendungen zurücksetzen und Gäste, für die jene Liste hätte gelten sollen, diese gar komplett aushebeln konnten. Die App-Versionen 2.4.1, 2.5.1 und 3.0.1 beheben beide Fehler.
ZIPs enthalten geschützte Dateien
Ebenfalls mit mittelschweren Auswirkungen müssen Admins rechnen, die eine verwundbare Version (1.2.0 oder höher) der "Files ZIP"-App auf ihrer Nextcloud-Installation betreiben. Mit der können böswillige Nutzer nämlich Dateien zu einer ZIP-Datei zusammenfassen und herunterladen, die nur zur Ansicht, nicht aber zum Download freigegeben waren (CVE-2024-22404, CVSS 4,1/10). Wer die App nicht auf die fehlerbereinigte Version 1.2.1, 1.4.1 oder 1.5.0 aktualisieren kann, möge sie einstweilen deaktivieren, empfehlen die Entwickler.
In zwei Schnittstellen zur Anbindung Nextclouds an externe Authentisierungs- und Autorisierungssysteme, nämlich der APP "User SAML" und der Kernfunktionalität für OAuth2 im Nextcloud-Server, klaffen Sicherheitslücken mit niedrigem Schweregrad. In ersterer App können Angreifer einen offenen Redirect nutzen, um Benutzer zu einer externen Seite umzuleiten (CVE-2024-22400, CVSS 3,1/10, behoben in Version 5.1.5, 5.2.5 und 6.0.1) und im Server sind OAuth2-Autorisierungscodes irrtümlich unendlich lange gültig. Nach dem Update auf Nextcloud (Enterprise) Server auf 28.0.0 endet ihre Gültigkeit nun nach 10 Minuten, was CVE-2024-22403 (CVSS 3,0/10) aus der Welt schafft.
Nextcloud hat erst unlängst ein Update auf die Version "Nextcloud Hub 7" erhalten. Obgleich die Nextcloud-Plattform mittlerweile sehr stabil ist und Updates in der Regel keine großen Probleme darstellen, kann man bisweilen noch Überraschungen erleben, wie sie Dr. Docker in seinem Behandlungsprotokoll beschreibt. (cku)
