Oh oh, da gibt es wohl ein paar Schwachstellen in einigen Nextcloud-Apps, die f\u00fcr Unternehmen zu einem Sicherheitsrisiko werden k\u00f6nnten. Das ist nat\u00fcrlich nichts, wor\u00fcber man sich freut. Sicherheitsforscher haben diese L\u00fccken entdeckt und warnen davor, dass sie ernsthafte Konsequenzen haben k\u00f6nnten. <\/p>\n
Besonders kritisch ist ein Fehler in der Passwort\u00fcberpr\u00fcfung der App „Global Site Selector“, die in gr\u00f6\u00dferen Nextcloud-Installationen zur Lastverteilung verwendet wird. Diese Schwachstelle erm\u00f6glicht es Angreifern, sich als ein anderer Nutzer anzumelden, wenn sie Zugriff auf ein beliebiges Nutzerkonto auf dem betroffenen System haben. Das ist nat\u00fcrlich alles andere als ideal. Die Entwickler haben die Schwachstelle in den Versionen 1.4.1, 2.1.2, 2.3.4 und 2.4.5 der App behoben. Also, wer diese App nutzt, sollte schnellstm\u00f6glich auf die aktualisierten Versionen umsteigen, um sich zu sch\u00fctzen.<\/p>\n
Aber das ist noch nicht alles! Es gibt auch zwei mittelschwere Schwachstellen in der App „Guests“. Hier konnten Nutzer die Liste erlaubter Anwendungen einfach zur\u00fccksetzen und G\u00e4ste konnten diese Liste komplett umgehen. Das ist nat\u00fcrlich nicht unbedingt das, was man sich von einer Sicherheitsl\u00fccke w\u00fcnscht. Die Entwickler haben die Fehler in den Versionen 2.4.1, 2.5.1 und 3.0.1 der App behoben.<\/p>\n
Selbst Administratoren, die die App „Files ZIP“ verwenden, m\u00fcssen mit mittelschweren Folgen rechnen, wenn sie nicht auf die behobenen Versionen 1.2.1, 1.4.1 oder 1.5.0 aktualisieren k\u00f6nnen. Durch eine Schwachstelle in dieser App ist es b\u00f6swilligen Nutzern m\u00f6glich, Dateien zu einer ZIP-Datei zusammenzufassen und herunterzuladen, obwohl diese eigentlich nur f\u00fcr die Ansicht, nicht aber zum Download freigegeben waren. Das kann nat\u00fcrlich zu unerw\u00fcnschten Datenlecks f\u00fchren.<\/p>\n
Auch in den Schnittstellen zur Integration von Nextcloud mit externen Authentifizierungs- und Autorisierungssystemen wurden Sicherheitsl\u00fccken niedrigen Schweregrades entdeckt. Das betrifft die App „User SAML“ und die grundlegende OAuth2-Funktionalit\u00e4t des Nextcloud-Servers. In der App „User SAML“ k\u00f6nnen Angreifer einen offenen Redirect nutzen, um Benutzer auf eine externe Seite umzuleiten. Das ist nicht gerade das, was man sich von einer sicheren Plattform w\u00fcnscht. Die Entwickler haben dies in den Versionen 5.1.5, 5.2.5 und 6.0.1 der App behoben. Zudem waren im Server OAuth2-Autorisierungscodes unbegrenzt g\u00fcltig, was nat\u00fcrlich auch nicht ideal ist. Durch ein Update auf die Nextcloud (Enterprise) Server Version 28.0.0 betr\u00e4gt die G\u00fcltigkeitsdauer der Codes nun 10 Minuten, was die Schwachstelle behebt.<\/p>\n
Trotz dieser Schwachstellen sollte man nicht vergessen, dass Nextcloud normalerweise eine stabile Plattform ist und die Aktualisierungen in der Regel problemlos verlaufen. Aber wie bei jedem System kann es ab und zu noch unerwartete \u00dcberraschungen geben. Die Entwickler sind jedoch bem\u00fcht, solche Probleme schnell zu beheben und die Sicherheit der Plattform zu gew\u00e4hrleisten. In diesem Fall wurde Nextcloud vor kurzem auf die Version Nextcloud Hub 7 aktualisiert, was hoffentlich weitere Verbesserungen und Sicherheitsupdates mit sich bringt. Es ist also wichtig, immer auf dem neuesten Stand zu bleiben und die empfohlenen Updates durchzuf\u00fchren, um sich vor m\u00f6glichen Schwachstellen zu sch\u00fctzen.<\/p>\n
Schlagw\u00f6rter: CVSS + Nextcloud + App<\/p>\n","protected":false},"excerpt":{"rendered":"
Oh oh, da gibt es wohl ein paar Schwachstellen in einigen Nextcloud-Apps, die f\u00fcr Unternehmen zu einem Sicherheitsrisiko werden k\u00f6nnten. Das ist nat\u00fcrlich nichts, wor\u00fcber man sich freut. Sicherheitsforscher haben diese L\u00fccken entdeckt und warnen davor, dass sie ernsthafte Konsequenzen haben k\u00f6nnten. Besonders kritisch ist ein Fehler in der Passwort\u00fcberpr\u00fcfung...<\/p>\n","protected":false},"author":4,"featured_media":3308,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-3309","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/3309","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3309"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/3309\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/3308"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3309"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3309"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3309"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}