Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 2 (23.02.23):
Der Hersteller bestätigt die Schwachstelle CVE-2023-25579, die bereits mit
den Versionen 25.0.2, 24.0.8 und 23.0.12 behoben wurde. Ein Angreifer mit
niedrigen Privilegien kann die Schwachstelle aus der Ferne ausnutzen, um
einen Directory-Traversal-Angriff durchführen und dadurch Dateien zu
manipulieren. Ein erfolgreicher Angriff erfordert die Interaktion eines
Benutzers und kann Einfluss auf andere Komponenten haben.
Version 1 (16.02.23):
Neues Advisory

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um einen
Denial-of-Service (DoS)- und einen Server-Side-Request-Forgery
(SSRF)-Angriff durchzuführen. Ein Angreifer kann eine weitere Schwachstelle
lokal ausnutzen, um Informationen auszuspähen.

Für die Ausnutzung der lokalen Schwachstelle sind erweiterte Privilegien
erforderlich.

Der Hersteller bestätigt die Schwachstellen und veröffentlicht die aktuellen
Nextcloud Server Releases 25.0.3 (Nextcloud Hub 3) und 24.0.9 (Nextcloud Hub
2) zu ihrer Behebung. Die Schwachstelle CVE-2023-25159 wurde bereits mit den
Versionen 25.0.1 und 24.0.8, die Schwachstelle CVE-2023-25161 mit den
Versionen 25.0.1, 24.0.8 und 23.0.12 und die Schwachstelle CVE-2023-25162
mit den Versionen 24.0.8 und 23.0.12 behoben. Des weiteren informiert der
Hersteller, dass die Versionszweige 22 und 23 in Zukunft nicht mehr
unterstützt werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2023-0392]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html