Ghostboard pixel

Info über Sicherheitslücke im Nextcloud veröffentlicht

Info über Sicherheitslücke im Nextcloud veröffentlicht

Ein Sicherheitsberater bei Nextcloud, bekannt unter dem Pseudonym „nickvergessen“, hat am 21. November 2023 einen Sicherheitsbericht mit der Kennung GHSA-f962-hw26-g267 Jo veröffentlicht. Diese Sicherheitslücke betrifft die Nextcloud Server-Versionen ab 25.0.0 sowie die Nextcloud Enterprise-Versionen ab 20.0.0. Die Schwachstelle ermöglicht es einem bösartigen Benutzer, persönliche oder globale externe Speicher zu aktualisieren, sodass sie für alle anderen Benutzer unzugänglich werden.

Für Nextcloud Server werden Updates auf die Versionen 25.0.13, 26.0.8 oder 27.1.3 empfohlen, während für Nextcloud Enterprise Server die Versionen 20.0.14.16, 21.0.9.13, 22.2.10.15, 23.0.12.12, 24.0.12.8, 25.0.13, 26.0.8 oder 27.1.3 empfohlen werden. Als vorübergehende Lösung kann die App „files_external“ deaktiviert werden, was zwar den externen Speicher unzugänglich macht, jedoch die Konfigurationen bis zur Bereitstellung eines gepatchten Updates beibehält.

Die Schwere dieser Sicherheitslücke wird mit 8,5 von 10 Punkten bewertet. Sie wird als hoch eingestuft, wobei der Angriffsvektor über das Netzwerk erfolgt, die Angriffskomplexität gering ist, und niedrige Privilegien benötigt werden, ohne dass Benutzerinteraktion erforderlich ist. Die Schwachstelle wurde als CVE-2023-48239 katalogisiert.

Ist die Cloud aktuell besteht keine Gefahr

Die kontinuierliche Aktualisierung von Nextcloud auf die neueste Version ist ein entscheidender Schritt zur Gewährleistung der Systemsicherheit. Ein wichtiger Aspekt dabei ist, dass Details zu Sicherheitslücken in der Regel erst dann öffentlich bekannt gegeben werden, wenn bereits ein entsprechender Patch oder ein Update zur Behebung des Problems verfügbar ist. Dies bedeutet, dass Systeme, die stets auf dem neuesten Stand gehalten werden, vor den potenziellen Risiken geschützt sind, die durch diese Schwachstellen entstehen könnten. Somit reduziert eine regelmäßige Aktualisierung der Nextcloud-Software signifikant das Risiko von Sicherheitsverletzungen, da bekannte Schwachstellen zeitnah behoben werden, bevor sie weitläufig ausgenutzt werden können.