GLSA-202208-17 : Nextcloud: Multiple Vulnerabilities

critical Nessus Plugin ID 164145

語系:

描述

遠端主機受到 GLSA-202208-17 中所述弱點影響 (Nextcloud:多個弱點)

- Nextcloud Server 是處理資料儲存的 Nextcloud 套件。 19.0.11、20.0.10 或 21.0.2 之前版本的 Nextcloud Server 會將使用者 ID 傳送至查閱伺服器,即使使用者未將任何欄位設為已發佈亦會如此。已在 19.0.11、20.0.10 和 21.0.2 版中修補該弱點;除了更新外,目前尚無已知的因應措施。(CVE-2021-32653)

- Nextcloud Server 是處理資料儲存的 Nextcloud 套件。在 19.0.11、20.0.10 和 21.0.2 之前版本中,攻擊者可取得任何聯合檔案共用的寫入/讀取權限。由於可將公開連結新增為聯合檔案共用,因此攻擊者也可在任何公開連結上利用此問題。使用者可升級至修補後的版本 (19.0.11、20.0.10 或 21.0.2),或採用停用聯合檔案共用作為因應措施。(CVE-2021-32654)

- Nextcloud Server 是處理資料儲存的 Nextcloud 套件。在 19.0.11、20.0.10 和 21.0.2 之前版本中,攻擊者能夠將 Files Drop 連結轉換為聯合共用,這會在共用使用者的 UI 端造成問題。當共用使用者開啟共用面板並嘗試移除此意外共用的「建立」權限時,Nextcloud Server 會以無訊息的方式授予共用讀取權限。此弱點已在 19.0.11、20.0.10 和 21.0.2 版中修補。目前尚無已知的因應措施。(CVE-2021-32655)

- Nextcloud Server 是處理資料儲存的 Nextcloud 套件。 19.0.11、20.0.10 和 21.0.2 之前版本的聯合共用中存在弱點。攻擊者可存取合法伺服器使用者新增為聯合共用的公開連結,藉此取得有關伺服器使用者的基本資訊。發生這種情況是因為 Nextcloud 支援與其他 Nextcloud 伺服器共用註冊的使用者,當選取「成功建立聯合共用後自動新增伺服器」設定時,程式可自動完成此操作。此弱點已在 19.0.11、20.0.10 和 21.0.2 版中修補,因應措施是在 Nextcloud 設定中停用「成功建立聯合共用後自動新增伺服器」設定。(CVE-2021-32656)

- Nextcloud Server 是處理資料儲存的 Nextcloud 套件。在 Nextcloud Server 10.0.11、20.0.10 和 21.0.2之前版本中,惡意使用者可能會破壞使用者管理頁面,這將引致系統管理員無法管理 Nextcloud 執行個體上的使用者。此弱點已在 19.0.11、20.0.10 和 21.0.2 版中修正。作為因應措施,系統管理員可以使用 OCC 命令行工具來管理 Nextcloud 使用者。(CVE-2021-32657)

- Nextcloud Server 是處理資料儲存的 Nextcloud 套件。在 19.0.13、20.0.11 和 21.0.3 之前版本中,速率限制不適用於 OCS API 回應,這會影響使用「@BruteForceProtection」註解的任何 OCS API 控制器 (「OCSController」)。風險取決於 Nextcloud Server 上安裝的應用程式,但可能包括略過驗證速率限製或向其他 Nextcloud 使用者傳送垃圾郵件。此弱點已在 19.0.13、20.0.11 和 21.0.3 版中修補。除了升級以外,目前尚無已知的因應措施。(CVE-2021-32678)

- Nextcloud Server 是處理資料儲存的 Nextcloud 套件。在 19.0.13、20.0.11 和 21.0.3 之前版本中,程式未依預設使用「DownloadResponse」逸出控制器中的檔案名稱。當使用者提供的檔案名稱未經清理即被傳遞至「DownloadResponse」時,攻擊者可藉此誘騙使用者下載具有良性副檔名的惡意檔案。這會顯示在 UI 行為中,其中 Nextcloud 應用程式會顯示良性副檔名 (例如 JPEG),但實際上會下載包含可執行檔副檔名的檔案。此弱點已在 19.0.13、20.0.11 和 21.0.3 版中修補。
Nextcloud 執行個體的管理員沒有可用的因應措施,但 Nextcloud 應用程式的開發人員可手動逸出檔案名稱,然後將其傳送至「DownloadResponse」。(CVE-2021-32679)

- Nextcloud Server 是處理資料儲存的 Nextcloud 套件。在 19.0.13、20.0.11 和 21.0.3 之前版本中,Nextcloud Server 的稽核記錄功能未正確記錄取消設定共用到期日的事件,而此事件本應予以記錄。此問題已在 19.0.13、20.0.11 和 21.0.3 版本中修補。(CVE-2021-32680)

- Nextcloud Server 是處理資料儲存的 Nextcloud 套件。Nextcloud Server 支援使用特定於應用程式的 token 進行身分驗證。這些 token 應該被授予特定的應用程式 (例如 DAV 同步用戶端),也可以由使用者設定為沒有任何檔案系統存取權。在 19.0.13、20.0.11 和 21.0.3之前版本中,由於缺少權限檢查,這些 token 能夠變更自己的權限。因此,fileystem 限制的 token 能夠授予自身對檔案系統的存取權。此問題已在 19.0.13、20.0.11 和 21.0.3 版本中修補。除了升級外,目前沒有其他已知的因應措施。(CVE-2021-32688)

- Nextcloud Server 是處理資料儲存的 Nextcloud 套件。在 19.0.13、20.011 和 21.0.3 之前版本中,shareinfo 端點缺少速率限制,這可能允許攻擊者列舉可能有效的共用 token。此問題已在 19.0.13、20.0.11 和 21.0.3 版中修正。
目前尚無已知的因應措施。(CVE-2021-32703)

- Nextcloud Server 是處理資料儲存的 Nextcloud 套件。在 19.0.13、20.011 和 21.0.3 之前版本中,公用 DAV 端點缺少速率限制,這可能允許攻擊者列舉可能有效的共用 token 或憑證。此問題已在 19.0.13、20.0.11 和 21.0.3 版中修正。目前尚無已知的因應措施。(CVE-2021-32705)

- Nextcloud Server 是處理資料儲存的 Nextcloud 套件。在 19.0.13、20.011 和 21.0.3之前版本中,檔案和資料夾的聯合轉送並未遵循預設的共用權限。此問題已在 19.0.13、20.0.11 和 21.0.3 版中修正。目前尚無已知的因應措施。
(CVE-2021-32725)

- Nextcloud Server 是處理資料儲存的 Nextcloud 套件。在 19.0.13、20.011 和 21.0.3 之前版本中,刪除使用者後並未刪除 webauthn token。如果受害者重複使用先前使用過的使用者名稱,則先前的使用者可取得其帳戶的存取權。此問題已在 19.0.13、20.0.11 和 21.0.3 版中修正。目前尚無已知的因應措施。(CVE-2021-32726)

- Nextcloud Server 是處理資料儲存的 Nextcloud 套件。在 19.0.13、20.011 和 21.0.3 之前版本中,Nextcloud Server 隨附的 Nextcloud Text 應用程式向使用者傳回了逐字例外狀況訊息,這可導致共用檔案的完整路徑遭到洩漏。此問題已在 19.0.13、20.0.11 和 21.0.3 版中修正。因應措施為停用 Nextcloud Server 應用程式設定中的 Nextcloud Text 應用程式。(CVE-2021-32734)

- Nextcloud Server 是一個開放原始碼的自我託管的個人云端。在受影響的版本中,攻擊者可略過 Nextcloud 中的雙重驗證。因此,只要知道密碼或能夠存取使用者的 WebAuthN 受信任裝置,就可以取得帳戶的存取權。建議升級至 Nextcloud Server 20.0.12、21.0.4 或 22.1.0 版。目前沒有因應措施可解決此弱點。
(CVE-2021-32800)

- Nextcloud Server 是一個開放原始碼的自我託管的個人云端。在受影響的版本中,例外狀況記錄可能導致程式記錄 Nextcloud Encryption-at-Rest 功能的潛在敏感金鑰內容。建議升級至 Nextcloud Server 20.0.12、21.0.4 或 22.1.0 版。如果無法升級,建議使用者停用系統記錄以解決此問題,直到可以執行升級。請注意,如果您不使用 Nextcloud 的 Encryption-at-Rest 功能,則不會受到此錯誤的影響。(CVE-2021-32801)

- Nextcloud Server 是一個開放原始碼的自我託管的個人云端。Nextcloud 支援針對使用者提供的檔案內容進行影像預覽轉譯。對於某些影像類型,Nextcloud Server 會叫用不適合未受信任的使用者所提供內容的第三方庫。將使用者產生的內容傳送至此庫有數個安全性問題,例如伺服器端要求偽造、檔案洩漏或可能在系統上執行程式碼。風險取決於您的系統組態和安裝的庫版本。建議升級至 Nextcloud Server 20.0.12、21.0.4 或 22.1.0 版。這些版本不再使用此庫。作爲因應措施,使用者可在「config.php」中將「enable_previews」設為「false」,以停用預覽。(CVE-2021-32802)

- Nextcloud 是一個開放原始碼的自我託管的生產力平台。在 20.0.13、21.0.5 和 22.2.0 之前版本中,Nextcloud Server 並未出於速率限制的目的實作資料庫後端。因此,使用速率限制的 Nextcloud 元件 (如「AnonRateThrottle」或「UserRateThrottle」) 在未設定記憶體快取後端的實例上不受速率限制。在預設安裝的情況下,這特別包括對兩個因素程式碼的速率限制。建議升級至 Nextcloud Server 20.0.13、21.0.5 或 22.2.0 版。因應措施為在「config.php」中啟用記憶體快取後端。
(CVE-2021-41177)

- Nextcloud 是一個開放原始碼的自我託管的生產力平台。20.0.13、21.0.5 和 22.2.0 之前版本中存在檔案遊走弱點,攻擊者可藉此弱點從主機系統下載任意 SVG 影像,包括使用者提供的檔案。攻擊者亦可上傳模擬 Nextcloud 登入表單的惡意 SVG 檔案,並向受害者傳送特製連結,以執行 XSS/網路釣魚攻擊。由於 Nextcloud 採用了不允許執行任意 JavaScript 的嚴格內容安全性原則,因此可減輕此處的 XSS 風險。建議升級至 Nextcloud Server 20.0.13、21.0.5 或 22.2.0 版。除了升級外,目前沒有其他已知的因應措施。(CVE-2021-41178)

- Nextcloud Server 是一個自我主控的系統,旨在提供雲端式服務。在受影響的版本中,User Status API 未考量系統管理員的使用者列舉設定。這允許使用者列舉執行個體上的其他使用者,即使在使用者清單已停用的情況下也是如此。建議升級至 Nextcloud Server 20.0.14、21.0.6 或 22.2.1 版。目前尚無已知的因應措施。
(CVE-2021-41239)

- Nextcloud Server 是一個自我主控的系統,旨在提供雲端式服務。Nextcloud 的 groupfolders 應用程式允許使用者與一組使用者共用一個資料夾。此外,它也允許設定子資料夾的進階權限,例如可授予使用者存取群組資料夾而非特定子資料夾的權限。在受影響的版本中,由於缺少權限檢查,使用者仍可透過將群組資料夾複製到其他位置來存取這些子資料夾。建議升級至 Nextcloud Server 20.0.14、21.0.6 或 22.2.1 版。無法升級的使用者應在管理設定中停用 groupfolders 應用程式。(CVE-2021-41241)

- Nextcloud Server 是一個開放原始碼的自我託管的云端式服務平台。在受影響的版本中,攻擊者可透過上傳特製的檔案來造成伺服器配置過多記憶體/CPU,進而引致拒絕服務。建議升級至 Nextcloud Server 21.0.8、22.2.4 或 23.0.1 版。無法升級的使用者應停用具有「enable_previews」組態旗標的預覽產生功能。(CVE-2022-24741)

- Nextcloud Server 是適用於 Nextcloud (自我託管的生產力平台) 的檔案伺服器軟體。在 20.0.14.4、21.0.8、22.2.4 和 23.0.1 之前版本中,使用者可以建立具有前置和結尾 \n、\r、\t 和 \v 字元的檔案和資料夾。伺服器會拒絕名稱中含有這些字元的檔案和資料夾,因此這可能是插入的機會。此問題已在 20.0.14.4、21.0.8、22.2.4 和 23.0.1 版中修正。目前尚無已知的解決方法。
(CVE-2022-24888)

- Nextcloud Server 是適用於 Nextcloud (自我託管的生產力平台) 的檔案伺服器軟體。在 21.0.8、22.2.4 和 23.0.1 之前版本中,攻擊者可以誘騙系統管理員為 Nextcloud 伺服器啟用不需要的建議應用程式,從而不必要地擴大其攻擊面。
此問題已在 21.0.8、22.2.4 和 23.0.1 版中修正。(CVE-2022-24889)

- Nextcloud Server 是適用於 Nextcloud (自我託管的生產力平台) 的檔案伺服器軟體。在 22.2.7 和 23.0.4 之前版本中,由於對新工作階段名稱的輸入大小缺少驗證,使用者可以建立具有長名稱的應用程式密碼。這些長名稱會在使用時載入記憶體,進而導致效能受到影響。22.2.7 和 23.0.4 版包含針對此問題的修復程式。目前尚無已知的因應措施。(CVE-2022-29243)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

所有 Nextcloud 使用者皆應升級至最新版本:

# emerge --sync # emerge --ask --oneshot --verbose >=www-apps/nextcloud-23.0.4

另請參閱

https://security.gentoo.org/glsa/202208-17

https://bugs.gentoo.org/show_bug.cgi?id=797253

https://bugs.gentoo.org/show_bug.cgi?id=802096

https://bugs.gentoo.org/show_bug.cgi?id=812443

https://bugs.gentoo.org/show_bug.cgi?id=820368

https://bugs.gentoo.org/show_bug.cgi?id=834803

https://bugs.gentoo.org/show_bug.cgi?id=835073

https://bugs.gentoo.org/show_bug.cgi?id=848873

Plugin 詳細資訊

嚴重性: Critical

ID: 164145

檔案名稱: gentoo_GLSA-202208-17.nasl

版本: 1.2

類型: local

已發布: 2022/8/16

已更新: 2022/8/16

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 7.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

時間媒介: CVSS2#E:U/RL:OF/RC:C

CVSS 評分資料來源: CVE-2021-32802

CVSS v3

風險因素: Critical

基本分數: 9.8

時間分數: 8.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:2.3:o:gentoo:linux:*:*:*:*:*:*:*:*, p-cpe:2.3:a:gentoo:linux:nextcloud:*:*:*:*:*:*:*

必要的 KB 項目: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2022/8/10

弱點發布日期: 2021/6/1

參考資訊

CVE: CVE-2021-32655, CVE-2021-32653, CVE-2021-32654, CVE-2021-32657, CVE-2021-32656, CVE-2021-32679, CVE-2021-32678, CVE-2021-32688, CVE-2021-32680, CVE-2021-32703, CVE-2021-32705, CVE-2021-32725, CVE-2021-32726, CVE-2021-32734, CVE-2021-32802, CVE-2021-32801, CVE-2021-32800, CVE-2021-41178, CVE-2021-41177, CVE-2021-41239, CVE-2021-41241, CVE-2022-24741, CVE-2022-24888, CVE-2022-24889, CVE-2022-29243