Vor kurzem wurde unter anderem auf HEISE.DE über diverse Sicherheitslücken in Nextcloud berichtet:
CVE-2023-39962 (Users can delete external storage mount points)
Nach den zur Verfügung stehenden Informationen unter https://github.com/nextcloud/security-advisories/security/advisories/GHSA-xwxx-2752-w3xm ist es zur Ausnutzung der Sicherheitlücke erforderlich, mit einem existieren Konto an einem System angemeldet zu sein, das externen Datenspeicher über die Komponente "External storage support" benutzt. Potentiell kann damit ein Nutzer Daten und Datenspeicher - auch anderer Nutzer - löschen.
Diese Sicherheitslücke ist auf den von managedhosting.de für unsere Kunden betriebenen Instanzen nicht ausnutzbar, da die Komponente "External storage support" deaktiviert ist und die Systeme grundsätzlich keinen externen Datenspeicher verwenden.
CVE-2023-39963 (Missing password confirmation when creating app passwords)
Nach den zur Verfügung stehenden Informationen unter https://github.com/nextcloud/security-advisories/security/advisories/GHSA-j4qm-5q5x-54m5 ist es zur Ausnutzung der Sicherheitlücke erforderlich, mit einem existierenden Konto an einem System angemeldet zu sein, das z. Bsp. beim Verlassen des Arbeitsplatzes ohne Sperrung von einem Angreifer benutzt werden kann, um sich unbemerkt Passwörter oder Passwortdaten schicken zu lassen.
Diese Lücke ist nur ausnutzbar, falls ein Nutzer den PC mit offenem Browser und einer aktiven Anmeldung verlässt, ohne sich anzumelden oder den PC zu sperren, sodass unbefugte Dritte Zugriff auf eine aktive Sitzung erhalten. Bei sachgerechter Benutzung und korrektem Verhalten des Benutzers kann diese Sicherheitslücke nicht ausgenutzt werden.
Alle von managedhosting.de für unsere Kunden betriebenen Instanzen werden unabhängig davon zeitnah auf den aktuellen Stand gebracht und mit den entsprechenden Patches ausgestattet, sobald diese verfügbar sind und von uns getestet wurden.
Weiterführende Informationen finden Sie unter https://github.com/nextcloud/security-advisories/security
