Geliştiriciler, Nextcloud işbirliği yazılımındaki birkaç güvenlik açığını doldurdu. Bazıları bunları yüksek riskli olarak sınıflandırır. Bazı güncellemeler bir süredir mevcut. BT yöneticileri şimdi yüklemelidir.
Nextcloud: Güvenlik açığı bulunan bileşenler
Nextcloud sunucusuna ek olarak, Yemek Kitabı ve Posta bileşenlerinde de güvenlik açıkları bulundu. Nextcloud geliştiricileri tarafından hazırlanan bir güvenlik raporuna göre, kullanıcı adı bir e-posta adresi değilse (CVE-2023-32319, CVSS) sunucu, WebDAV uç noktalarındaki oturum açma verilerine yönelik kaba kuvvet saldırılarına karşı korunmuyordu. 8.1risk”yüksek“).
Ayrıca, Nextcloud sunucusu ile metin uygulaması arasındaki kullanıcı oturumları, oturum kapatıldığında düzgün bir şekilde sıfırlanmıyordu ve bu, kötü niyetli aktörlerin oturum açtıktan sonra daha önce oturum açmış bir kullanıcı olarak kimlik doğrulaması yapmasına izin veriyordu (CVE-2023-32318, CVSS 7.2, yüksek). Nextcloud Server 25.0.6, 26.0.1 ve Enterprise 23.0.12.6, 24.0.11, 25.0.6 veya 26.0.1 güncellemeleri sorunları çözer. Bazı yeni yazılımlar zaten mevcut olduğundan, yöneticilerin şu anda mevcut olan sürümlere yükseltme yapması gerekir.
Nextcloud ayrıca, Nextcloud Yemek Kitabı adlı bir bileşen olarak bir tarifler koleksiyonu sunar. İçindeki bir güvenlik açığı nedeniyle, saldırganlar komutlar enjekte etmiş olabilir, ancak bu, ana depoyla çalışan geliştiriciler veya buradan çatallar için bir risktir, uygulamanın Nextcloud’daki kullanıcıları etkilenmez. Sonuç olarak, boşluğun boyutuna ilişkin değerlendirmeler biraz farklıdır. NIST veritabanında, CVE-2023-31128, CVSS puanını gösterir: 8.1 bir risk değerlendirmesi olarak”yüksek” iken, Nextcloud güvenlik uyarısında bir CVSS değeri içermez ve riski “orta” olarak ayarlar. BT yöneticileri ve yöneticiler, kodlarının Ana ve Ana-0.9.x depolarının mevcut durumuna güncellendiğinden emin olmalıdır.
Son olarak, Nextcloud geliştiricileri, Nextcloud’un posta uygulamasında sunucu tarafında “kör” istek sahteciliği güvenlik açığı konusunda uyarıda bulunuyor. Bu, kötü niyetli aktörlerin aynı sunucuda çalışan hizmetlere HTTP GET istekleri göndermesine olanak tanır (CVE-2023-33184, CVSS 3.5, Bas). Mail uygulamasının 3.0.2, 2.2.5 veya 1.15.3 sürümlerine güncellemek sorunu çözer.
Nextcloud daha önce Nisan ayında kritik bir güvenlik açığı konusunda uyarıda bulunmuştu. Yazılım zaten orada da yayınlanmıştı, ancak değişiklik günlüğünde herhangi bir güvenlik açığı listelenmemişti.
(dmk)
Haberin Sonu
Nextcloud: Güvenlik açığı bulunan bileşenler
Nextcloud sunucusuna ek olarak, Yemek Kitabı ve Posta bileşenlerinde de güvenlik açıkları bulundu. Nextcloud geliştiricileri tarafından hazırlanan bir güvenlik raporuna göre, kullanıcı adı bir e-posta adresi değilse (CVE-2023-32319, CVSS) sunucu, WebDAV uç noktalarındaki oturum açma verilerine yönelik kaba kuvvet saldırılarına karşı korunmuyordu. 8.1risk”yüksek“).
Ayrıca, Nextcloud sunucusu ile metin uygulaması arasındaki kullanıcı oturumları, oturum kapatıldığında düzgün bir şekilde sıfırlanmıyordu ve bu, kötü niyetli aktörlerin oturum açtıktan sonra daha önce oturum açmış bir kullanıcı olarak kimlik doğrulaması yapmasına izin veriyordu (CVE-2023-32318, CVSS 7.2, yüksek). Nextcloud Server 25.0.6, 26.0.1 ve Enterprise 23.0.12.6, 24.0.11, 25.0.6 veya 26.0.1 güncellemeleri sorunları çözer. Bazı yeni yazılımlar zaten mevcut olduğundan, yöneticilerin şu anda mevcut olan sürümlere yükseltme yapması gerekir.
Nextcloud ayrıca, Nextcloud Yemek Kitabı adlı bir bileşen olarak bir tarifler koleksiyonu sunar. İçindeki bir güvenlik açığı nedeniyle, saldırganlar komutlar enjekte etmiş olabilir, ancak bu, ana depoyla çalışan geliştiriciler veya buradan çatallar için bir risktir, uygulamanın Nextcloud’daki kullanıcıları etkilenmez. Sonuç olarak, boşluğun boyutuna ilişkin değerlendirmeler biraz farklıdır. NIST veritabanında, CVE-2023-31128, CVSS puanını gösterir: 8.1 bir risk değerlendirmesi olarak”yüksek” iken, Nextcloud güvenlik uyarısında bir CVSS değeri içermez ve riski “orta” olarak ayarlar. BT yöneticileri ve yöneticiler, kodlarının Ana ve Ana-0.9.x depolarının mevcut durumuna güncellendiğinden emin olmalıdır.
Son olarak, Nextcloud geliştiricileri, Nextcloud’un posta uygulamasında sunucu tarafında “kör” istek sahteciliği güvenlik açığı konusunda uyarıda bulunuyor. Bu, kötü niyetli aktörlerin aynı sunucuda çalışan hizmetlere HTTP GET istekleri göndermesine olanak tanır (CVE-2023-33184, CVSS 3.5, Bas). Mail uygulamasının 3.0.2, 2.2.5 veya 1.15.3 sürümlerine güncellemek sorunu çözer.
Nextcloud daha önce Nisan ayında kritik bir güvenlik açığı konusunda uyarıda bulunmuştu. Yazılım zaten orada da yayınlanmıştı, ancak değişiklik günlüğünde herhangi bir güvenlik açığı listelenmemişti.
(dmk)
Haberin Sonu