Die Entwickler von Nextcloud warnen vor einer kritischen Sicherheitslücke. Durch diese könnten Angreifer aus dem Netz Schadcode einschleusen und ausführen. Es gibt bereits aktualisierte Software zum Schließen der Sicherheitslücke, die zum Herunterladen und Installieren bereitsteht.

In der Fehlerbeschreibung heißt es: "Eine fehlende Bereichsvalidierung ermöglicht Nutzerinnen und Nutzern, Workflows zu erstellen, die per Design Administratoren vorbehalten sind. Einige Workflows sind derart aufgebaut, dass sie Code aus der Ferne – durch das Einbinden bestimmter Skripte – ausführen. Diese Workflows dienen etwa zum Erstellen von PDFs, involvieren Webhooks oder lassen Skripte auf dem Server laufen". Die Entwickler erklären weiter, dass durch diese Kombination das Problem zur Ausführung von eingeschleustem Schadcode aus dem Netz führen könnte, abhängig von den verfügbaren Apps (CVE-2023-26482, CVSS 9.0, Risiko "kritisch").

Bereits seit Ende Februar existieren für die Nextcloud Server die Aktualisierungen auf Version 24.0.10 oder 25.0.4. Für Nextcloud Enterprise Server schaffen die Versionen 20.0.14.12, 21.0.9.10, 22.2.10.10, 23.0.12.5, 24.0.10 respektive 25.0.4 Abhilfe. Die Nextcloud-Entwickler schreiben, dass Nutzer von Nextcloud Enterprise Server 18 oder 19 die Updates manuell einspielen sollten.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE