openSUSE 15 セキュリティ更新: nextcloud (openSUSE-SU-2022:0098-1)

medium Nessus プラグイン ID 159458

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SUSE15ホストには、openSUSE-SU-2022:0098-1のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- Nextcloud サーバーは、クラウドスタイルのサービスを提供するために設計された自己ホスト型システムです。影響を受けるバージョンでは、User Status API は管理者によるユーザー列挙設定を考慮していませんでした。このため、ユーザーリストが無効になっている場合でも、ユーザーはインスタンスで他のユーザーを列挙できました。Nextcloud Server を 20.0.14、21.0.6、または 22.2.1 にアップグレードすることが推奨されます。既知の回避策はありません。
(CVE-2021-41239)

- Nextcloud サーバーは、クラウドスタイルのサービスを提供するために設計された自己ホスト型システムです。Nextcloud 用の groupfolders アプリケーションにより、人々のグループとフォルダーを共有することができます。さらに、サブフォルダーで詳細な権限を設定できます。たとえば、ユーザーに特定のサブフォルダーではなく、グループフォルダーへのアクセス権を付与できます。影響を受けるバージョンに権限チェックが欠落しているため、ユーザーがグループフォルダーを別の場所にコピーすることで、これらのサブフォルダーにアクセスする可能性があります。Nextcloud Server を 20.0.14、21.0.6、または 22.2.1 にアップグレードすることが推奨されます。アップグレードできないユーザーは、管理者設定でグループフォルダーアプリケーションを無効にする必要があります。(CVE-2021-41241)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。