Sicherheitsupdates für Nextcloud: Unberechtigte Zugriffe möglich
Mehrere Komponenten von Nextcloud sind verwundbar. Admins sollten ihre Instanzen zeitnah mittels verfügbarer Sicherheitspatches absichern.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Wer Daten in seiner eigenen Cloud mittels Nextcloud speichert, sollte die Filehostingsoftware aus Sicherheitsgründen auf den aktuellen Stand bringen. In aktuellen Versionen haben die Entwickler mehrere Schwachstellen geschlossen.
Verschiedene Ansatzpunkte für Angreifer
Der Großteil der Lücken ist mit dem Bedrohungsgrad "mittel" beziehungsweise "niedrig" eingestuft. Eine Schwachstelle (CVE-2024-52508) in der Mail-App ist mit der Kennzeichnung "hoch" versehen. Erstellen Nutzer einen Mailaccount mit einer Adresse, die keine Autokonfiguration unterstützt, können Angreifer dazwischenfunken und Mails abfangen. Dagegen sind die Mail-Apps 1.14.6, 1.15.4, 2.2.11, 3.6.3, 3.7.7 und 4.0.0 gerüstet.
Setzen Angreifer an den anderen Lücken erfolgreich an, können sie sich unberechtigte Zugriffe verschaffen und etwa auf Dateien zugreifen. Um den Attacken entgegenzuwirken, haben die Entwickler mehrere abgesicherte Versionen von Server Nextcloud und Server Nextcloud Enterprise veröffentlicht. Weil die Auflistung dieser Ausgaben den Rahmen dieser Meldung sprengt, finden Admins die Sicherheitsupdates in den verlinkten Warnmeldungen.
Liste nach Bedrohungsgrad absteigend sortiert:
- Mail auto configurator sends account information to `autoconfig.tld` server when no auto-configuration is possible
- Authorization Bypass Through User-Controlled Key in Tables
- Desktop client created folders with world-readable and world-writable permissions on Linux
- Link reference provider can be tricked into downloading bigger files than intended
- Incomplete sanitization of SVG files allows to embed other images into previews
- Custom defined credentials of external storages are sent back to the frontend
- Desktop client behaves incorrectly if the initial end-to-end-encryption signature is empty
- Missing password confirmation when changing external storage options
- Global credentials of external storages are sent back to the frontend
- User can copy folder that contain files that are blocked by the files access control
- Mail app does not respect download permissions in shares
- Share information of Tables app is not limited to affected users
- Open redirection when logging in with User OIDC
- Shares are not removed when user is limited to share with in their groups and being removed from one of them
- OAuth2 client secrets were stored in a recoverable way
- Potential hash collision for background jobs could skip queuing them
- Attachments folder for Text app is accessible on "Files drop" and "Password protected" shares
- User password is available in memory of the PHP process
(des)
