2021-1478: Nextcloud Server: Mehrere Schwachstellen ermöglichen u. a. die Eskalation von Privilegien
Historie:
- Version 1 (2021-07-13 16:57)
- Neues Advisory
- Version 2 (2021-07-14 09:13)
- Für Fedora 33 und 34 stehen Sicherheitsupdates in Form der Pakete 'nextcloud-19.0.13-1.fc33' und 'nextcloud-20.0.11-1.fc34' im Status 'testing' bereit, womit Nextcloud auf Version 19.0.3 bzw. 20.0.11 aktualisiert wird.
- Version 3 (2021-07-16 12:39)
- Für Fedora 33 und 34 Modular sowie für Fedora EPEL 8 Modular stehen Sicherheitsupdates im Status 'testing' bereit, womit Nextcloud für die Versionszweige 19, 20 und 21 auf die Versionen 19.0.3, 20.0.11 und 21.0.3 aktualisiert wird.
- Version 4 (2021-07-21 09:53)
- openSUSE stellt für openSUSE Leap 15.2, openSUSE Backports SLE 15 SP1, SP2 und SP3 sowie SUSE Package Hub for SUSE Linux Enterprise 12 Sicherheitsupdates auf die Nextcloud Version 20.0.11 zur Verfügung. In der Sicherheitsmeldung werden auch die älteren Schwachstellen CVE-2020-8293, CVE-2020-8294 und CVE-2020-8295, die bereits mit der Version 20.0.7 adressiert wurden, als behoben aufgeführt. Diese ermöglichen einen Cross-Site-Scripting (XSS)-Angriff und Denial-of-Service (DoS)-Angriffe.
Betroffene Software
Netzwerk
Server
Betroffene Plattformen
Linux
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen, einen Denial-of-Service (DoS)-Angriff und einen Cross-Site-Scripting (XSS)-Angriff durchzuführen, falsche Informationen darzustellen sowie nicht spezifizierte Angriffe durchzuführen. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich.
Nextcloud informiert über die Schwachstellen und stellt die Versionen 19.0.13, 20.0.11 und 21.0.3 als Sicherheitsupdates bereit.
Schwachstellen:
CVE-2021-32678
Schwachstelle in Nextcloud Server ermöglicht u. a. Denial-of-Service-AngriffCVE-2021-32679
Schwachstelle in Nextcloud Server ermöglicht Darstellen falscher InformationenCVE-2021-32680
Schwachstelle in Nextcloud Server ermöglicht nicht spezifizierte AngriffeCVE-2021-32688
Schwachstelle in Nextcloud Server ermöglicht PrivilegieneskalationCVE-2021-32703
Schwachstelle in Nextcloud Server ermöglicht Ausspähen von InformationenCVE-2021-32705
Schwachstelle in Nextcloud Server ermöglicht Ausspähen von InformationenCVE-2021-32725
Schwachstelle in Nextcloud Server ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2021-32726
Schwachstelle in Nextcloud Server ermöglicht PrivilegieneskalationCVE-2021-32733
Schwachstelle in Nextcloud Server ermöglicht Cross-Site-Scripting-AngriffCVE-2021-32734
Schwachstelle in Nextcloud Server ermöglicht Ausspähen von InformationenCVE-2021-32741
Schwachstelle in Nextcloud Server ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.