Deux vulnérabilités ont été découvertes dans Nextcloud Server. Elles permettent à un attaquant de provoquer un déni de service à distance et une atteinte à la confidentialité des données.
Note : si vous disposez d’un abonnement d’infogérance Nextcloud chez Icodia, ne vous souciez de rien, votre système est à jour.
Les systèmes affectés sont les suivants :
- Nextcloud Server versions antérieures à 23.0.10
- Nextcloud Server versions 24.x antérieures à 24.0.6
- Nextcloud Entreprise Server versions antérieures à 23.0.10
- Nextcloud Entreprise Server versions 24.x antérieures à 24.0.5
Les deux CVE et leurs correctifs
CVE-2022-39329 :
Les versions de NextCloud serveur citées ci-dessus sont vulnérables à un attaquant connecté qui ralentit le système en générant plusieurs bases de données ou en surchargeant le processeur. Consulter les bulletins CVE et les correctifs publiés par l’éditeur :
Une solution alternative consiste à désactiver / désinstaller le module Circles
CVE-2022-39330 :
Les versions de NextCloud serveur citées ci-dessus sont vulnérables à l’exposition d’informations ne pouvant être contrôlées par un administrateur sans un accès direct. Consulter les bulletins CVE et les correctifs publiés par l’éditeur :
Vous n’êtes pas en mesure d’appliquer ces correctifs ?
Contactez le prestataire qui a installé votre système de travail collaboratif, ou encore notre service développement qui pourra vous accompagner le cas échéant dans ces opérations.
Comment faire pour entretenir ma solution NextCloud à l’avenir ?
Vous ne le savez peut-être pas, mais Icodia propose un abonnement d’infogérance technique pour la solution NextCloud
Pour plus d’informations, n’hésitez pas à nous contacter.