Dasjenige Bundesamt pro Sicherheit in welcher Informationstechnik (BSI) hat am 23.06.2023 zusammenführen Sicherheitshinweis pro Nextcloud veröffentlicht. Es sind mehrere Schwachstellen bezugnehmend welcher Einsatz dieser Software entdeckt worden, die zusammenführen Sturm zuteil werden lassen. Betroffen von welcher Sicherheitslücke sind die Betriebssysteme UNIX und Linux sowie dies Produkt Nextcloud Nextcloud.

Die neuesten Hersteller-Empfehlungen bezugnehmend Updates, Workarounds und Sicherheitspatches pro selbige Sicherheitslücke finden Sie hier: Nextcloud Security Advisory (Stand: 22.06.2023). Weitere nützliche Sinister werden weiter unten in diesem Beitrag aufgeführt.

Mehrere Schwachstellen pro Nextcloud gemeldet – Risiko: hoch

Risikostufe: 4 (hoch)
CVSS Kusine Score: 8,4
CVSS Zeitlich Score: 7,3
Remoteangriff: Ja

Zur Einschätzung des Schweregrads von Sicherheitsanfälligkeiten in Computersystemen wird dies Common Vulnerability Scoring System (CVSS) angewandt. Welcher CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken uff Sockel verschiedener Kriterien miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Geleitwort von Gegenmaßnahmen zu erstellen. Für jedes die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „unbequem“ verwendet. Welcher Kusine Score bewertet die Voraussetzungen pro zusammenführen Sturm (u.a. Authentifizierung, Vielschichtigkeit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Welcher Zeitlich Score berücksichtigt darüber hinaus zeitliche Veränderungen im Sinne als welcher Gefahrenlage. Dasjenige Risiko welcher hier behandelten Schwachstelle wird nachher dem CVSS mit einem Kusine Score von 8,4 qua „hoch“ eingeschätzt.

Nextcloud Programmfehler: Schwachstellen und CVE-Nummern

Nextcloud ist eine „on-premise“ Plattform pro Dateifreigabe und Zusammenarbeit.

Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in Nextcloud ausnutzen, um Datenansammlung zu verheimlichen und um Anmeldeinformationen offenzulegen.

Klassifiziert wurden die Schwachstellen mithilfe des CVE-Bezeichnungssystems (Common Vulnerabilities and Exposures) durch die individuellen Seriennummern CVE-2023-35928 und CVE-2023-35927.

Von welcher Nextcloud-Sicherheitslücke betroffene Systeme im Gesamtschau

Betriebssysteme
UNIX, Linux

Produkte
Nextcloud Nextcloud Server < 26.0.2 (cpe:/a:nextcloud:nextcloud)
Nextcloud Nextcloud Server < 25.0.7 (cpe:/a:nextcloud:nextcloud)
Nextcloud Nextcloud Server < 24.0.12.2 (cpe:/a:nextcloud:nextcloud)
Nextcloud Nextcloud Server < 23.0.12.7 (cpe:/a:nextcloud:nextcloud)
Nextcloud Nextcloud Server < 22.2.10.12 (cpe:/a:nextcloud:nextcloud)
Nextcloud Nextcloud Server < 21.0.9.12 (cpe:/a:nextcloud:nextcloud)
Nextcloud Nextcloud Server < 20.0.14.14 (cpe:/a:nextcloud:nextcloud)
Nextcloud Nextcloud Server < 19.0.13.9 (cpe:/a:nextcloud:nextcloud)

Allgemeine Maßnahmen zum Umgang mit IT-Sicherheitslücken

1. Computer-Nutzer welcher betroffenen Systeme sollten selbige uff dem aktuellsten Stand halten. Hersteller sind nebst Bekanntwerden von Sicherheitslücken dazu angehalten, selbige schnellstmöglich durch Kreation eines Patches oder eines Workarounds zu beheben. Sollten Sicherheitspatches verfügbar sein, installieren Sie selbige zeitnah.
2. Rat einholen Sie zu Informationszwecken die im nächsten Unvollendetes aufgeführten Quellen. Zig-mal enthalten selbige weiterführende Informationen zur aktuellsten Version welcher betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
3. Wenden Sie sich nebst weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten die genannten Quellen regelmäßig daraufhin prüfen, ob ein neues Sicherheitsupdate zur Verfügung steht.

Hersteller-Informationen zu Updates, Patches und Workarounds

An dieser Stelle entscheiden sich weiterführende Sinister mit Informationen verbleibend Programmfehler-Reports, Security-Fixes und Workarounds.

Nextcloud Security Advisory vom 2023-06-22 (23.06.2023)
Weitere Informationen finden Sie unter: https://github.com/nextcloud/security-advisories/security/advisories/GHSA-637g-xp2c-qh5h

Nextcloud Security Advisory vom 2023-06-22 (23.06.2023)
Weitere Informationen finden Sie unter: https://github.com/nextcloud/security-advisories/security/advisories/GHSA-h7f7-535f-7q87

Versionshistorie dieser Sicherheitswarnung

Dies ist die initiale Halterung des vorliegenden IT-Sicherheitshinweises pro Nextcloud. Sollten Updates bekanntgegeben werden, wird dieser Text aktualisiert. Änderungen oder Ergänzungen können Sie in dieser Versionshistorie nachlesen.

23.06.2023 – Initiale Halterung

+++ Redaktioneller Rauchzeichen: Dieser Text wurde uff Sockel aktueller BSI-Datenansammlung KI-gestützt erstellt. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Hinterher gehen Sie News.de schon nebst Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Kabel zur Redaktion.
roj/news.de