openSUSE 15 セキュリティ更新：nextcloud (openSUSE-SU-2023:0083-1)

high Nessus プラグイン ID 173828

Language:

概要

リモートの openSUSE ホストに 1 つ以上のセキュリティアップデートがありません。

説明

リモートの openSUSE 15 ホストには、openSUSE-SU-2023:0083-1 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

- Nextcloud Password Policy は、Nextcloud サーバー管理者がパスワードの特定のルールを定義できるようにするアプリです。22.2.10、23.0.7、および 24.0.3 より前のバージョンでは、非常にまれなケースですが、ランダムパスワードジェネレーターが、バリデーター自体がブロックする一般的なパスワードを生成する可能性があります。Nextcloud Server を22.2.10、23.0.7 、または 24.0.3 にアップグレードして、パスワードポリシーの問題のパッチを入手してください。利用可能な既知の回避策はありません。(CVE-2022-35931)

- Nextcloud サーバーは、オープンソースのパーソナルクラウドサーバーです。影響を受けるバージョンの nextcloud サーバーが、ユーザーの表示名を適切に制限していませんでした。これにより、悪意のあるユーザーがバッキングデータベースをオーバーロードし、サービス拒否を引き起こす可能性があります。Nextcloud Server を 22.2.10、23.0.7、または 24.0.3 にアップグレードすることが推奨されます。この問題についての既知の回避策はありません。(CVE-2022-39346)

- Nextcloud サーバーは、セルフホスト型のホームクラウド製品です。影響を受けるバージョンでは、「OC\Files\Node\Folder: : getFullPath()」関数が文字列を間違った順序で検証および正規化していました。この関数は「newFile()」および「newFile()」アイテムで使用され、独自のスペース外にパスを作成し、細工されたパスで他のユーザーからのデータを上書きする可能性があります。この問題は、バージョン 25.0.2、24.0.8、23.0.12 で対処されています。ユーザーにアップグレードすることを推奨します。この問題についての既知の回避策はありません。(CVE-2023-25579)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。