Deux vulnérabilités ont été découvertes dans Nextcloud Server. Elles permettent à un attaquant de bypasser la protection contre les attaques de type bruteforce et un contournement de l’authentification. 

Note : si vous disposez d’un abonnement d’infogérance Nextcloud chez Icodia, ne vous souciez de rien, votre système est à jour.

Les systèmes affectés sont les suivants :

  • Nextcloud Server versions antérieures à 26.0.9
  • Nextcloud Server versions 27.x antérieures à 27.1.4
  • Nextcloud Entreprise Server versions 23.x antérieures à 23.0.12.13
  • Nextcloud Entreprise Server versions 24.x antérieures à 24.0.12.9
  • Nextcloud Server Enterprise versions 25.0.x antérieures à 25.0.13.4
  • Nextcloud Server Enterprise versions 26.0.x antérieures à 26.0.9
  • Nextcloud Server Enterprise versions 27.x.x antérieures à 27.1.4

 

Les bulletins de sécurité Nextcloud et les correctifs

Possibilité de bypasser la protection contre les attaques Bruteforce selon la configuration proxy :

Dans le cas où un (reverse) proxy serait configuré comme proxy de confiance, le serveur peut être trompé et forcé à lire une adresse distante erronée pour un attaquant, ce qui peut permettre à ce dernier d’exécuter plus de tentatives de connexion que prévu.

Possibilité de contourner l’authentification pour l’édition des workflows en passant par l’API :

Dans le cas où un attaquant parviendrait à accéder à la session active d’un utilisateur par un moyen détourné, il peut supprimer et modifier les workflows en envoyant directement des appels à l’API, en contournant la politique authentification de l’utilisateur de l’interface utilisateur.

 

Les correctifs :

Sur Nextcloud Server, les versions 26.0.9 ou 27.1.4 corrigent les failles de sécurité.
Sur Nextcloud Enterprise Server, il faut mettre à jour vers les versions 23.0.12.13, 24.0.12.9, 25.0.13.4, 26.0.9 ou 27.1.4

 

Vous n’êtes pas en mesure d’appliquer ces correctifs ?

Contactez le prestataire qui a installé votre système de travail collaboratif, ou encore notre service développement qui pourra vous accompagner le cas échéant dans ces opérations.

Comment faire pour entretenir ma solution NextCloud à l’avenir ?

Vous ne le savez peut-être pas, mais Icodia propose un abonnement d’infogérance technique pour la solution NextCloud

Pour plus d’informations, n’hésitez pas à nous contacter.