检测

GLSA-202208-17:Nextcloud:多个漏洞

critical Nessus 插件 ID 164145

语言:

描述

远程主机受到 GLSA-202208-17 中所述漏洞的影响(Nextcloud:多个漏洞)

 - Nextcloud Server 是处理数据存储的 Nextcloud 程序包。 19.0.11、20.0.10 或 21.0.2 之前版本的 Nextcloud Server 会将用户 ID 发送到查找服务器,即使用户未将任何字段设置为已发布亦如此。该漏洞已在 19.0.11、20.0.10 和 21.0.2 版中修复;除更新之外,目前没有已知的变通方案。(CVE-2021-32653)

 - Nextcloud Server 是处理数据存储的 Nextcloud 程序包。在 19.0.11、20.0.10 和 21.0.2之前版本中,攻击者能够获得对任何联合文件共享的写入/读取权限。由于可以将公共链接添加为联合文件共享,因此攻击者也可以在任何公共链接上利用此问题。用户可以升级到修补后的版本(19.0.11、20.0.10 或 21.0.2),或者以禁用联合文件共享作为变通方案。(CVE-2021-32654)

 - Nextcloud Server 是处理数据存储的 Nextcloud 程序包。在 19.0.11、20.0.10 和 21.0.2之前版本中,攻击者能够将 Files Drop 链接转换为联合共享,这会在共享用户的 UI 端造成问题。当共享用户打开共享面板并尝试删除此意外共享的“创建”权限时,Nextcloud Server 会以静默方式授予共享读取权限。此漏洞已在 19.0.11、20.0.10、21.0.2 版本中修复。尚无已知的变通方案。(CVE-2021-32655)

 - Nextcloud Server 是处理数据存储的 Nextcloud 程序包。19.0.11、20.0.10 和 21.0.2 之前版本的联合共享组件中存在漏洞。攻击者可通过访问合法服务器用户添加为联合共享的公共链接来获取有关服务器用户的基本信息。发生这种情况是因为 Nextcloud 支持与其他 Nextcloud 服务器共享注册的用户,当选择“成功创建联合共享后自动添加服务器”设置时,程序可自动完成此操作。该漏洞已在 19.0.11、20.0.10 和 21.0.2 版中得到修补。变通方案是,在 Nextcloud 设置中禁用“成功创建联合共享后自动添加服务器”。(CVE-2021-32656)

 - Nextcloud Server 是处理数据存储的 Nextcloud 程序包。在 Nextcloud Server 10.0.11、20.0.10 和 21.0.2 之前版本中,恶意用户可能会破坏用户管理页面,这将导致管理员不能管理 Nextcloud 实例上的用户。此漏洞已在 19.0.11、20.0.10、21.0.2 版本中修复。作为变通方案,管理员可使用 OCC 命令行工具来管理 Nextcloud 用户。 (CVE-2021-32657)

 - Nextcloud Server 是处理数据存储的 Nextcloud 程序包。在 19.0.13、20.0.11 和 21.0.3之前版本中,速率限制不适用于 OCS API 响应,这会影响使用“@BruteForceProtection”批注的所有 OCS API 控制器 (“OCSController”)。风险取决于 Nextcloud 服务器上安装的应用程序,但可能包括绕过认证速率限制或向其他 Nextcloud 用户发送垃圾邮件。此漏洞已在 19.0.13、20.0.11、21.0.3 版本中修补。除升级外,尚无已知的变通方案。(CVE-2021-32678)

 - Nextcloud Server 是处理数据存储的 Nextcloud 程序包。在 19.0.13、20.0.11 和 21.0.3 之前版本中,程序未按默认设置在控制器中使用“DownloadResponse”转义文件名。如果用户提供的文件名未经审查即被传递到“DownloadResponse”中,攻击者可借此诱骗用户下载具有良性文件扩展名的恶意文件。这会显示在 UI 行为中,其中 Nextcloud 应用程序会显示良性文件扩展名(例如 JPEG),但实际上会下载带有可执行文件扩展名的文件。此漏洞已在 19.0.13、20.0.11、21.0.3 版本中修补。
 Nextcloud 实例的管理员没有可用的变通方案,但 Nextcloud 应用程序的开发人员可在文件名传递到“DownloadResponse”之前手动转义该文件名。(CVE-2021-32679)

 - Nextcloud Server 是处理数据存储的 Nextcloud 程序包。在 19.0.13、20.0.11 和 21.0.3 之前版本中,Nextcloud Server 的审核日志记录功能未正确记录取消设置共享到期日期的事件,而此事件本应予以记录。此问题已在 19.0.13、20.0.11 和 21.0.3 版本中得到修补。(CVE-2021-32680)

 - Nextcloud Server 是处理数据存储的 Nextcloud 程序包。Nextcloud Server 支持使用特定于应用程序的标记进行身份验证,这些标记应该被授予特定的应用程序(例如 DAV 同步客户端),也可以由用户配置为不具有任何文件系统访问权限。在 19.0.13、20.0.11 和 21.0.3 之前版本中,由于缺少权限检查,这些标记能够更改自身的权限。因此,fileystem 限制的标记能够授予自身对文件系统的访问权限。此问题已在 19.0.13、20.0.11 和 21.0.3 版本中得到修补。除升级外,没有其他已知的变通方案。(CVE-2021-32688)

 - Nextcloud Server 是处理数据存储的 Nextcloud 程序包。在 19.0.13、20.011 和 21.0.3 之前版本中,shareinfo 端点缺少速率限制,这可能允许攻击者枚举可能有效的共享标记。此问题已在 19.0.13、20.0.11 和 21.0.3 版本中得到修补。
 没有已知的变通方案。(CVE-2021-32703)

 - Nextcloud Server 是处理数据存储的 Nextcloud 程序包。在 19.0.13、20.011 和 21.0.3 之前版本中,公共 DAV 端点缺少速率限制,这可能允许攻击者枚举可能有效的共享标记或凭据。此问题已在 19.0.13、20.0.11 和 21.0.3 版本中得到修补。没有已知的变通方案。(CVE-2021-32705)

 - Nextcloud Server 是处理数据存储的 Nextcloud 程序包。在 19.0.13、20.011 和 21.0.3 之前版本中,文件和文件夹的联合转发未遵守默认的共享权限。此问题已在 19.0.13、20.0.11 和 21.0.3 版本中得到修补。没有已知的变通方案。
 (CVE-2021-32725)

 - Nextcloud Server 是处理数据存储的 Nextcloud 程序包。在 19.0.13、20.011 和 21.0.3 之前版本中,删除用户后不会删除 webauthn 标记。如果受害者重复使用之前使用过的用户名,则之前的用户可以获得对其帐户的访问权限。此问题已在 19.0.13、20.0.11 和 21.0.3 版本中得到修补。没有已知的变通方案。(CVE-2021-32726)

 - Nextcloud Server 是处理数据存储的 Nextcloud 程序包。在 19.0.13、20.011 和 21.0.3 之前版本中,Nextcloud Server 随附的 Nextcloud Text 应用程序会向用户返回逐字异常消息,这可导致共享文件的完整路径被泄露。此问题已在 19.0.13、20.0.11 和 21.0.3 版本中得到修补。作为变通方案,可以在 Nextcloud Server 应用程序设置中禁用 Nextcloud Text 应用程序。(CVE-2021-32734)

 - Nextcloud Server 是一款开源自托管的个人云。在受影响的版本中,攻击者能够绕过 Nextcloud 中的双重身份验证。因此,只要了解密码或能够访问用户的 WebAuthN 受信任设备,即可获得帐户访问权限。建议将 Nextcloud Server 升级到 20.0.12、21.0.4 或 22.1.0 版。目前尚无针对此漏洞的变通方案。
 (CVE-2021-32800)

 - Nextcloud Server 是一款开源自托管的个人云。在受影响的版本中,异常日志记录可能导致程序记录 Nextcloud Encryption-at-Rest 功能的潜在敏感密钥材料。建议将 Nextcloud Server 升级到 20.0.12、21.0.4 或 22.1.0 版。如果无法升级,建议用户通过禁用系统日志记录来解决此问题,直到可以执行升级。请注意,不使用 Nextcloud 的 Encryption-at-Rest 功能时,不会受到此缺陷影响。(CVE-2021-32801)

 - Nextcloud Server 是一款开源自托管的个人云。Nextcloud 支持对用户提供的文件内容进行图像预览渲染。对于某些图像类型,Nextcloud Server 会调用不适用于用户提供的不受信任内容的第三方库。将用户生成的内容传递到此库存在多个安全问题,例如服务器端要求伪造、文件泄露或可能在系统上执行代码。风险取决于系统配置和安装的库版本。建议将 Nextcloud Server 升级到 20.0.12、21.0.4 或 22.1.0 版。这些版本不再使用此库。作为变通方案,用户可通过在“config.php”中将“enable_previews”设置为“false”来禁用预览。(CVE-2021-32802)

 - Nextcloud 是一个开源自托管的工作效率平台。在 20.0.13、21.0.5 和 22.2.0 之前版本中,Nextcloud Server 未出于速率限制目的实现数据库后端。因此,使用速率限制的 Nextcloud 组件(如“AnonRateThrottle”或“UserRateThrottle”)在未配置内存缓存后端的实例上不受速率限制。在默认安装的情况下,这将特别包括对两个因子代码的速率限制。建议将 Nextcloud Server 升级到 20.0.13、21.0.5 或 22.2.0 版。作为变通方案,可在“config.php”中启用内存缓存后端。
 (CVE-2021-41177)

 - Nextcloud 是一个开源自托管的工作效率平台。20.0.13、21.0.5 和 22.2.0 之前版本中存在文件遍历漏洞,攻击者可利用此漏洞从主机系统下载任意 SVG 图像,包括用户提供的文件。攻击者也可上传模仿 Nextcloud 登录表单的恶意 SVG 文件,并向受害者发送特制的链接,借此执行 XSS/网络钓鱼攻击。由于 Nextcloud 采用了严格的内容安全策略,不允许执行任意 JavaScript,因此缓解了此处的 XSS 风险。建议将 Nextcloud Server 升级到 20.0.13、21.0.5 或 22.2.0 版。除升级外,没有其他已知的变通方案。(CVE-2021-41178)

 - Nextcloud Server 是一个用于提供云式服务的自托管系统。在受影响的版本中,User Status API 未考虑管理员提供的用户枚举设置。这允许用户枚举实例上的其他用户,即使当用户列表被禁用时也是如此。建议将 Nextcloud Server 升级到 20.0.14、21.0.6 或 22.2.1 版。没有已知的变通方案。
 (CVE-2021-41239)

 - Nextcloud Server 是一个用于提供云式服务的自托管系统。Nextcloud 的 groupfolders 应用程序允许用户与一组用户共享文件夹。此外,还允许设置子文件夹的高级权限,例如可授予用户访问群组文件夹而非特定子文件夹的权限。在受影响的版本中,由于缺少权限检查,用户仍可通过将群组文件夹复制到其他位置来访问这些子文件夹。建议将 Nextcloud Server 升级到 20.0.14、21.0.6 或 22.2.1 版。无法升级的用户应在管理设置中禁用 groupfolders 应用程序。(CVE-2021-41241)

 - Nextcloud Server 是一款开源自托管的云式服务平台。在受影响的版本中,攻击者可通过上传特制的文件导致服务器分配过多内存/CPU,从而造成拒绝服务。建议将 Nextcloud Server 升级到 21.0.8、22.2.4 或 23.0.1 版。无法升级的用户应使用“enable_previews”配置标记禁用预览生成。(CVE-2022-24741)

 - Nextcloud Server 是 Nextcloud(一个自托管的生产效率平台)的文件服务器软件。在 20.0.14.4、21.0.8、22.2.4 和 23.0.1 版之前,可以创建具有前导和后缀 \n、\r、\t 和 \v 字符的文件和文件夹。服务器拒绝名称中间含有这些字符的文件和文件夹,因此这可能是注入的机会。此问题已在 20.0.14.4、21.0.8、22.2.4 和 23.0.1 版本中得到修补。目前没有任何已知的变通方案。
 (CVE-2022-24888)

 - Nextcloud Server 是 Nextcloud(一个自托管的生产效率平台)的文件服务器软件。在 21.0.8、22.2.4 和 23.0.1 之前版本中,攻击者可以诱骗管理员为 Nextcloud Server 启用他们不需要的推荐应用程序,从而不必要地扩大其攻击面。
 此问题已在 21.0.8、22.2.4 和 23.0.1 版本中得到修补。(CVE-2022-24889)

 - Nextcloud Server 是 Nextcloud(一个自托管的生产效率平台)的文件服务器软件。在 22.2.7 和 23.0.4 之前版本中,由于对新会话名称的输入大小缺少验证,用户可以创建包含长名称的应用程序密码。这些长名称随后会在使用时加载到内存中,从而导致性能受到影响。 22.2.7 和 23.0.4 版包含针对此问题的修复程序。目前没有任何已知的变通方案。(CVE-2022-29243)

请注意,Nessus 尚未测试这些问题,而是只依靠应用程序自我报告的版本号来判断。

解决方案

所有 Nextcloud 用户都应当升级至最新版本:

 # emerge --sync # emerge --ask --oneshot --verbose >=www-apps/nextcloud-23.0.4

另见

https://security.gentoo.org/glsa/202208-17

https://bugs.gentoo.org/show_bug.cgi?id=797253

https://bugs.gentoo.org/show_bug.cgi?id=802096

https://bugs.gentoo.org/show_bug.cgi?id=812443

https://bugs.gentoo.org/show_bug.cgi?id=820368

https://bugs.gentoo.org/show_bug.cgi?id=834803

https://bugs.gentoo.org/show_bug.cgi?id=835073

https://bugs.gentoo.org/show_bug.cgi?id=848873

插件详情

严重性: Critical

ID: 164145

文件名: gentoo_GLSA-202208-17.nasl

版本: 1.3

类型: local

发布时间: 2022/8/16

最近更新时间: 2023/10/16

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.8

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2021-32802

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:gentoo:linux:nextcloud, cpe:/o:gentoo:linux

必需的 KB 项: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2022/8/10

漏洞发布日期: 2021/6/1

参考资料信息

CVE: CVE-2021-32653, CVE-2021-32654, CVE-2021-32655, CVE-2021-32656, CVE-2021-32657, CVE-2021-32678, CVE-2021-32679, CVE-2021-32680, CVE-2021-32688, CVE-2021-32703, CVE-2021-32705, CVE-2021-32725, CVE-2021-32726, CVE-2021-32734, CVE-2021-32800, CVE-2021-32801, CVE-2021-32802, CVE-2021-41177, CVE-2021-41178, CVE-2021-41239, CVE-2021-41241, CVE-2022-24741, CVE-2022-24888, CVE-2022-24889, CVE-2022-29243