Deux vulnérabilités ont été découvertes dans Nextcloud Server. Elles permettent à un attaquant de provoquer un déni de service à distance et une atteinte à la confidentialité des données.

Note : si vous disposez d’un abonnement d’infogérance Nextcloud chez Icodia, ne vous souciez de rien, votre système est à jour.

Les systèmes affectés sont les suivants :

  • Nextcloud Server versions antérieures à 23.0.10
  • Nextcloud Server versions 24.x antérieures à 24.0.6
  • Nextcloud Entreprise Server versions antérieures à 23.0.10
  • Nextcloud Entreprise Server versions 24.x antérieures à 24.0.5

 

Les deux CVE et leurs correctifs

CVE-2022-39329 :

Les versions de NextCloud serveur citées ci-dessus sont vulnérables à un attaquant connecté qui ralentit le système en générant plusieurs bases de données ou en surchargeant le processeur. Consulter les bulletins CVE et les correctifs publiés par l’éditeur :

Une solution alternative consiste à désactiver / désinstaller le module Circles

CVE-2022-39330 :

Les versions de NextCloud serveur citées ci-dessus sont vulnérables à l’exposition d’informations ne pouvant être contrôlées par un administrateur sans un accès direct. Consulter les bulletins CVE et les correctifs publiés par l’éditeur :

 

Vous n’êtes pas en mesure d’appliquer ces correctifs ?

Contactez le prestataire qui a installé votre système de travail collaboratif, ou encore notre service développement qui pourra vous accompagner le cas échéant dans ces opérations.

Comment faire pour entretenir ma solution NextCloud à l’avenir ?

Vous ne le savez peut-être pas, mais Icodia propose un abonnement d’infogérance technique pour la solution NextCloud

Pour plus d’informations, n’hésitez pas à nous contacter.