DFN-CERT

Advisory-Archiv

2021-1422: Nextcloud Server: Mehrere Schwachstellen ermöglichen u. a. das Erlangen von Benutzerrechten

Historie:

Version 1 (2021-07-01 16:24)
Neues Advisory

Betroffene Software

Netzwerk
Server

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Benutzerrechte zu erlangen, Informationen auszuspähen, Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen sowie einen Cross-Site-Scripting (XSS)- und einen Denial-of-Service (DoS)-Angriff durchzuführen. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.

Fedora stellt für Fedora 33 und 34, für Fedora 33 und 34 Modular sowie für Fedora EPEL 8 Modular Sicherheitsupdates für Nextcloud Server auf die Versionen 19.0.12, 20.0.10 und 21.0.2 zur Verfügung. In den Sicherheitshinweisen werden nicht alle Schwachstellen referenziert. Die Build-Historie für Fedora lässt aber annehmen, dass die angegebenen Schwachstellen in Übereinstimmung mit den offiziellen Herstellerangaben zu diesen Versionen ebenfalls behoben wurden. Die Sicherheitsupdates befinden sich im Status 'testing'.

Schwachstellen:

CVE-2020-8296

Schwachstelle in Nextcloud Server ermöglicht Ausspähen von Informationen

CVE-2021-22877

Schwachstelle in Nextcloud Server ermöglicht Erlangen von Benutzerrechten

CVE-2021-22878

Schwachstelle in Nextcloud Server ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-22915

Schwachstelle in Nextcloud Server ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-32653

Schwachstelle in Nextcloud Server ermöglicht Ausspähen von Informationen

CVE-2021-32654

Schwachstelle in Nextcloud Server ermöglicht Privilegieneskalation

CVE-2021-32655

Schwachstelle in Nextcloud Server ermöglicht Ausspähen von Informationen

CVE-2021-32656

Schwachstelle in Nextcloud Server ermöglicht Ausspähen von Informationen

CVE-2021-32657

Schwachstelle in Nextcloud Server ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.