Luki bezpieczeństwa wykryte w oprogramowaniu chmurowym Nextcloud i ownCloud

OwnCloud i Nextcloud są szeroko stosowanymi alternatywami open source dla zastrzeżonych usług w chmurze, takich jak Dropbox, Google Drive czy Microsoft OneDrive. Użytkownicy mogą obsługiwać własne serwery za pomocą rozwiązań open source Nextcloud i ownCloud, które niedawno zostały narażone na krytyczne luki w zabezpieczeniach. Jednak użytkownicy obecnych wersji są teraz chronieni przed atakującymi, którzy próbują wykorzystać nowe luki.

W przypadku Nextcloud złośliwe strony trzecie mogą zablokować dostęp do plików na serwerze w chmurze, chociaż Nextcloud ukrywa szczegóły takich ataków - prawdopodobnie w celu zniechęcenia naśladowców. Luka w zabezpieczeniach Nextcloud, o oznaczeniu CVE-2023-48239została sklasyfikowana jako "wysoka" przez samego dewelopera w serwisie GitHub. Producent zaleca aktualizację do aktualnej wersji Nextcloud Server (25.0.13, 26.0.8 lub 27.1.3) lub Nextcloud Enterprise Server (20.0.14.16, 21.0.9.13, 22.2.10.15, 23.0.12.12, 24.0.12.8, 25.0.13, 26.0.8 lub 27.1.3).

Na własnym blogu https://owncloud.com/news/immediate-action-required-critical-security-updates-for-owncloud/, OwnCloud mówi o trzech lukach w zabezpieczeniach, z których wszystkie producent klasyfikuje jako "krytyczne". W wersjach ownCloud starszych niż 10.13.3 informacje logowania, takie jak hasło administratora, mogą być szpiegowane za pośrednictwem biblioteki "GraphAPI" innej firmy. Druga luka w ownCloud dotyczy innego interfejsu programistycznego lub w skrócie API: za pośrednictwem interfejsu API WebDAV atakujący mogą usuwać pliki na serwerze bez logowania. Trzecia luka dotyczy aplikacji OAuth2, którą osoby trzecie mogą wykorzystać do przemycenia przekierowania adresu URL. Według ownCloud, wszystkie trzy luki zostały naprawione w wersji 10.13.1, wydanej we wrześniu 2023 roku.