Nextcloud stellt einen Patch für ein Sicherheitsproblem für die Versionen 21 und 22 zur Verfügung. Falls Sie Nextcloud 18 und höher nutzen, patchen Sie bitte sofort. Für alle ältere Versionen wenden Sie sich bitte an uns, wir helfen weiter.
Dringend empfohlen
Da es sich um ein hochgradiges Sicherheitsproblem für die Versionen 21 und 22 handelt, empfehlen wir eine sofortige Aktualisierung oder ein Patching. Administrator:innen, die frühere Versionen einsetzen, können sich anhand der untenstehenden Informationen entlang hangeln.
Am 11. November werden auch die vollständigen Nextcloud Enterprise-Versionen für 19, 20, 21 und 22 veröffentlichen, die neben den Sicherheitspatches auch die üblichen Bugfixes und kleine Verbesserungen enthalten. Weitere Details finden Sie in der Security Patch Policy auf dem Nextcloud-Portal.
How to patch Nextcloud?
Anstelle eines Upgrades können Sie auch den Patch unter diesem Link nutzen. Um diese Patches anzuwenden, ist der Befehl patch auf Ihrem System erforderlich. Auf einer aktuellen Debian/Ubuntu-Version sollten Sie ihn mit sudo apt-get install patch installieren können.
Laden Sie die Patches herunter und legen Sie diese in den Ordner Ihrer Nextcloud-Installation ab (das ist der Ordner, der auch status.php enthält). Versetzen Sie die Instanz in den Wartungsmodus (hier klicken für mehr Informationen) und führen Sie dann, am Beispiel für Nextcloud Enterprise 21, die folgenden Befehle aus:
- patch -p2 <stable21.patch
HINWEIS: Diese Patches werden nur von den neuesten Nextcloud Enterprise-Versionen unterstützt. Bevor Sie diese anwenden, stellen Sie sicher, dass Sie auf der neuesten Stable-Version sind, d.h.:
- Nextcloud Enterprise 22.2.0.3
- Nextcloud Unternehmen 21.0.5.2
- Nextcloud Enterprise 20.0.13.2
- Nextcloud Enterprise 19.0.13.4
Wichtige Details
Erweiterte Berechtigungen für Gruppenordner werden für Unterordner nicht beachtet
- Auswirkungen: Die Gruppenordner-Anwendung für Nextcloud ermöglicht die gemeinsame Nutzung eines Ordners mit einer Gruppe von mehreren Personen. Darüber hinaus ermöglicht sie die Einstellung von „erweiterten Berechtigungen“ für Unterordner, z.B. könnte einem Benutzer der Zugriff auf den Gruppenordner, aber nicht auf bestimmte Unterordner gewährt werden. Aufgrund einer fehlenden Berechtigungsprüfung könnte ein Benutzer dennoch auf diese Unterordner zugreifen, indem er den Gruppenordner an einen anderen Ort kopiert.
- Lösung: Es wird empfohlen, Nextcloud Enterprise auf 19.0.13.5, 20.0.13.3, 21.0.5.3 oder 22.2.0.4 zu aktualisieren oder die Sicherheitspatches zu installieren. Dies betrifft NICHT Nextcloud 18 oder älter.
- Workaround: Deaktivieren Sie die Anwendung „Gruppenordner“ in den Verwaltungseinstellungen.
Benutzeraufzählungs-Einstellung wird in der Benutzerstatus-API nicht befolgt
- Auswirkungen: Die Benutzerstatus-API berücksichtigte nicht die Einstellungen für die Benutzeraufzählung durch den Administrator. Dadurch konnte ein Benutzer andere Benutzer aufzählen, selbst wenn die Benutzerlisten deaktiviert waren.
- Lösung: Es wird empfohlen, den Nextcloud Server auf 20.0.13.3, 21.0.5.3 oder 22.2.0.4 zu aktualisieren oder die Sicherheitspatches anzuwenden. Dies betrifft NICHT Nextcloud 19 oder älter.
- Workaround: Deaktivieren Sie die Anwendung „user_status“ in den Admin-Einstellungen.
Ordnernamen der Freigabe „File Drop“ zugänglich
- Auswirkungen: Aufgrund eines Problems in der Anwendung Nextcloud Text, die standardmäßig mit Nextcloud Server ausgeliefert wird, kann ein Angreifer auf die Ordnernamen von „File Drop“ zugreifen. Für einen Missbrauch benötigt der Angreifer allerdings Kenntnisse über den Freigabelink.
- Lösung: Es wird empfohlen, den Nextcloud Server auf 19.0.13.5, 20.0.13.3, 21.0.5.3 oder 22.2.0.4 zu aktualisieren oder die Sicherheitspatches anzuwenden. Für 18 ist ein Patch verfügbar.
- Workaround: Deaktivieren Sie die Anwendung „Text“ in den Verwaltungseinstellungen.
SQL-Einschleusung
- Auswirkungen: Eine fehlende Sanitisierung in Nextcloud ermöglicht SQL-Injektionen in MySQL, Postgres und SQLite, während Oracle sicher ist. Nach unserem derzeitigen Kenntnisstand bräuchte ein Angreifer zumindest einen öffentlichen Link, um das Problem auszunutzen, aber es ist durchaus möglich, dass das Risiko darüber hinausgeht. Es handelt sich um ein hochriskantes Problem, das ein sofortiges Patching oder Update erfordert.
- Lösung: Es wird empfohlen, den Nextcloud Server auf 21.0.5.3 oder 22.2.0.4 zu aktualisieren oder die Sicherheitspatches zu installieren. Dieses Problem betrifft NICHT Nextcloud 20 und älter.
Wir beraten Sie persönlich
T: +49 931 250993-20
M: sales@bitbone