Sicherheitsupdates für Nextcloud: Angreifer können Daten löschen
Die Cloud-Computing-Software Nextcloud ist verwundbar. Sicherheitsupdates sind verfügbar.
(Bild: JLStock/Shutterstock.com)
Wer Daten mit der Open-Source-Lösung Nextcloud in seiner eigenen Cloud speichert, sollte die Software aus Sicherheitsgründen auf den aktuellen Stand bringen. Angreifer können an mehreren Sicherheitslücken ansetzen.
Unbefugter Datenzugriff
Von den Schwachstellen sind die Notes-, Server-, Talk-Android- und user_oidc-Pakete von Nextcloud und Nextcloud Enterprise betroffen. Drei Sicherheitslücken (CVE-2023-39963, CVE-2023-39962, CVE-2023-39957) sind mit dem Bedrohungsgrad "hoch" eingestuft.
Setzen Angreifer an diesen Stellen erfolgreich an, können sie unter anderem App-Passwörter erstellen, Dateien auf externen Speichern löschen und Daten ins Root-Verzeichnis schreiben. Dagegen sind die folgenden Versionen abgesichert:
- Server (Nextcloud) 25.0.9, 26.0.4, 27.0.1
- Server (Nextcloud Enterprise) 19.0.13.10, 20.0.14.15, 21.0.9.13, 22.2.10.14, 23.0.12.9, 24.0.12.5, 25.0.9, 26.0.4, 27.0.1
- Talk Android (Nextcloud) 17.0.0
Noch mehr Schwachstellen
Die verbleibenden Lücken sind mit "mittel" und "niedrig" eingestuft. Hier können Angreifer unter anderem für Brute-Force-Attacken ansetzen und auf unverschlüsselte Client-Geheimnisse zugreifen. Auch hier schaffen die oben aufgelisteten Versionen Abhilfe.
Weitere Informationen zu den Sicherheitslücken und den bedrohten Ausgaben führen die Entwickler in mehreren Warnmeldungen auf. Die Schwachstellen wurden über die Bug-Bounty-Plattform HackerOne gemeldet.
Liste nach Bedrohungsgrad absteigend sortiert:
- Missing password confirmation when creating app passwords
- Users can delete external storage mount points
- Path traversal allows tricking the Talk Android app into writing files into it's root directory
- Advanced permissions not respected when copying entire group folders
- Missing brute force protection on OAuth2 API controller
- Issuer not verified from obtained token in user_oidc
- user_oidc app stores client secret unencrypted in database
- Text does not respect "Allow download" permissions
- Existance of calendars and addressbooks can be checked by unauthenticated users
- Notes attachment render HTML in preview mode
(des)
