2020-0881: Nextcloud Server: Zwei Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff

Historie:

Version 1 (2020-04-29 19:08)

Neues Advisory

Version 2 (2020-05-18 09:52)

Für SUSE Package Hub for SUSE Linux Enterprise 12 und openSUSE Backports SLE 15 SP1 stehen Sicherheitsupdates für 'nextcloud' zur Behebung der Schwachstellen zur Verfügung. Die Software wird damit auf Version 18.0.4 aktualisiert.

Version 3 (2020-05-25 10:15)

Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für 'nextcloud' auf Version 18.0.4 bereit, um die beiden Schwachstellen zu beheben.

Betroffene Software

Netzwerk
Server

Betroffene Plattformen

Linux
Microsoft

Beschreibung:

Zwei Schwachstellen in Nextcloud Server ermöglichen einem entfernten Angreifer mit üblichen Benutzerrechten die Durchführung eines Denial-of-Service (DoS)- und eines Cross-Site-Scripting (XSS)-Angriffs. Der DoS-Angriff kann Einfluss auf andere Komponenten haben. Ein erfolgreicher XSS-Angriff erfordert hier die Interaktion eines Benutzers.

Der Hersteller stellt die Nextcloud Server Versionen 17.0.5 und 18.0.3 zur Behebung der Schwachstellen zur Verfügung. Nextcloud 17 ist von der Cross-Site-Scripting-Schwachstelle nicht betroffen.

Schwachstellen:

CVE-2020-8154

Schwachstelle in Nextcloud Server ermöglicht Denial-of-Service-Angriff

CVE-2020-8155

Schwachstelle in Nextcloud Server ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.