bencede
New member
Güvenlik araştırmacıları, Nextcloud işbirliği platformuna yönelik bazı uygulamalarda, bunların işletmelerde kullanımını riske sokan kusurlar keşfettiler. Güvenlik açıklarından biri kritik etkiye sahip olabilirken diğerleri orta ve düşük şiddette olabilir.
Duyuru
Özellikle hassas bir konu, daha büyük Nextcloud kurulumları için yük dengelemeyi sağlayan “Global Site Selector” uygulamasının şifre doğrulamasındaki hatadır. GİBİ eleştirmen Gizli güvenlik açığı (CVE-2024-22212, CVSS 9.6/10), saldırganların hedef sistemde kullanıcı hesabı varsa farklı bir kullanıcı olarak oturum açmasına olanak tanıyor. 1.1.0, 2.0.0, 2.1.0, 2.2.0, 2.3.0 ve 2.4.0'dan sonraki tüm sürümler etkilenmektedir; yamalı uygulama sürümlerinin sürüm numaraları 1.4.1, 2.1.2, 2.3.4 ve 2.4'tür. 5.
İki boşluk yarım CVE ID CVE-2024-22402 (CVSS 5.4/10) ve CVE-2024-22401 (CVSS 4.1/10) önem düzeyleri, kullanıcıların uygulama listesini izin verildiğinde ve listenin kendileri için olduğu misafirleri sıfırladığı “Misafirler” uygulamasını etkiler. başvurmalıydık ve hatta tamamen üzerine yazmayı bile başardık. Uygulama sürümleri 2.4.1, 2.5.1 ve 3.0.1 her iki hatayı da çözer.
ZIP'ler korumalı dosyalar içerir
Ayrıca bununla birlikte orta-ağır Nextcloud kurulumlarında “ZIP Dosyaları” uygulamasının güvenlik açığından etkilenen bir sürümünü (1.2.0 veya üstü) kullanan yöneticilerin olumsuz sonuçlarla karşılaşması beklenmelidir. Bu, saldırganların yayımlanan dosyaları bir ZIP dosyasında birleştirip indirmelerine değil, yalnızca görüntüleme amacıyla indirmelerine olanak tanır (CVE-2024-22404, CVSS 4.1/10). Geliştiriciler, uygulamayı hatasız olarak 1.2.1, 1.4.1 veya 1.5.0 sürümüne güncelleyemiyorsanız şimdilik devre dışı bırakmanız gerektiğini tavsiye ediyor.
Nextcloud'u harici kimlik doğrulama ve yetkilendirme sistemlerine bağlamak için iki arayüzde, yani “Kullanıcı SAML” APP'sinde ve Nextcloud sunucusundaki OAuth2'nin temel işlevselliğinde güvenlik boşlukları bulunmaktadır. Bas Ciddiyet. İlk uygulamada saldırganlar, kullanıcıları harici bir siteye yönlendirmek için açık yönlendirmeyi kullanabilir (CVE-2024-22400, CVSS 3.1/10, 5.1.5, 5.2.5 ve 6.0.1 sürümlerinde düzeltilmiştir) ve sunucu OAuth2 yetkilendirme kodları hatalı şekilde süresiz olarak geçerlidir. Nextcloud (Enterprise) sunucusunu 28.0.0 sürümüne güncelledikten sonra bunların geçerliliği 10 dakika sonra sona erer ve CVE-2024-22403 (CVSS 3.0/10) ortadan kalkar.
Nextcloud yakın zamanda “Nextcloud Hub 7” sürümüne yönelik bir güncelleme aldı. Nextcloud platformu artık çok stabil olmasına ve güncellemeler genellikle büyük sorun yaratmamasına rağmen, bazen Dr. Docker'ın tedavi protokolünde anlattığı sürprizlere benzer sürprizlerle karşılaşabilirsiniz.
(cku)
Haberin Sonu
Duyuru
Özellikle hassas bir konu, daha büyük Nextcloud kurulumları için yük dengelemeyi sağlayan “Global Site Selector” uygulamasının şifre doğrulamasındaki hatadır. GİBİ eleştirmen Gizli güvenlik açığı (CVE-2024-22212, CVSS 9.6/10), saldırganların hedef sistemde kullanıcı hesabı varsa farklı bir kullanıcı olarak oturum açmasına olanak tanıyor. 1.1.0, 2.0.0, 2.1.0, 2.2.0, 2.3.0 ve 2.4.0'dan sonraki tüm sürümler etkilenmektedir; yamalı uygulama sürümlerinin sürüm numaraları 1.4.1, 2.1.2, 2.3.4 ve 2.4'tür. 5.
İki boşluk yarım CVE ID CVE-2024-22402 (CVSS 5.4/10) ve CVE-2024-22401 (CVSS 4.1/10) önem düzeyleri, kullanıcıların uygulama listesini izin verildiğinde ve listenin kendileri için olduğu misafirleri sıfırladığı “Misafirler” uygulamasını etkiler. başvurmalıydık ve hatta tamamen üzerine yazmayı bile başardık. Uygulama sürümleri 2.4.1, 2.5.1 ve 3.0.1 her iki hatayı da çözer.
ZIP'ler korumalı dosyalar içerir
Ayrıca bununla birlikte orta-ağır Nextcloud kurulumlarında “ZIP Dosyaları” uygulamasının güvenlik açığından etkilenen bir sürümünü (1.2.0 veya üstü) kullanan yöneticilerin olumsuz sonuçlarla karşılaşması beklenmelidir. Bu, saldırganların yayımlanan dosyaları bir ZIP dosyasında birleştirip indirmelerine değil, yalnızca görüntüleme amacıyla indirmelerine olanak tanır (CVE-2024-22404, CVSS 4.1/10). Geliştiriciler, uygulamayı hatasız olarak 1.2.1, 1.4.1 veya 1.5.0 sürümüne güncelleyemiyorsanız şimdilik devre dışı bırakmanız gerektiğini tavsiye ediyor.
Nextcloud'u harici kimlik doğrulama ve yetkilendirme sistemlerine bağlamak için iki arayüzde, yani “Kullanıcı SAML” APP'sinde ve Nextcloud sunucusundaki OAuth2'nin temel işlevselliğinde güvenlik boşlukları bulunmaktadır. Bas Ciddiyet. İlk uygulamada saldırganlar, kullanıcıları harici bir siteye yönlendirmek için açık yönlendirmeyi kullanabilir (CVE-2024-22400, CVSS 3.1/10, 5.1.5, 5.2.5 ve 6.0.1 sürümlerinde düzeltilmiştir) ve sunucu OAuth2 yetkilendirme kodları hatalı şekilde süresiz olarak geçerlidir. Nextcloud (Enterprise) sunucusunu 28.0.0 sürümüne güncelledikten sonra bunların geçerliliği 10 dakika sonra sona erer ve CVE-2024-22403 (CVSS 3.0/10) ortadan kalkar.
Nextcloud yakın zamanda “Nextcloud Hub 7” sürümüne yönelik bir güncelleme aldı. Nextcloud platformu artık çok stabil olmasına ve güncellemeler genellikle büyük sorun yaratmamasına rağmen, bazen Dr. Docker'ın tedavi protokolünde anlattığı sürprizlere benzer sürprizlerle karşılaşabilirsiniz.
(cku)
Haberin Sonu