Nextcloud Nginx CVE-2019-11043

Hello tout le monde.
Petite question concernant la faille publiée il y a deux jours:

Sur mon rpi3 après avoir fait toutes les mises à jour ma version de php-fpm est la suivante:

$ php-fpm7.0 -v
PHP 7.0.33-0+deb9u5 (fpm-fcgi) (built: Sep 18 2019 09:55:34)

et aucune trace des bouts de code à modifier:

location / {
                rewrite ^ /index.php$request_uri;
            }

et celui commençant par

location ~ ^\/(?:index|remote|public|cron|core\/ajax\/update|status|ocs\/v[12]|updater\/.+|oc[ms]-provider\/.+)\.php(?:$|\/) {
                fastcgi_split_path_info ^(.+?\.php)(\/.*|)$;

dans mon fichier /etc/nginx/nginx.conf edit: donc pas tellement de possibilité de patcher?

Est-ce qu’on peut commencer à paniquer?

kumamon

Mon serveur YunoHost

Matériel: rpi 3
Version de YunoHost: 3.6.5.2

Le correction est en cours d’intégration directement dans l’application Nextcloud de Yunohost.

Pour Nginx : Il faut modifier /etc/nginx/cond.d/domainedunextcloud.d/nextcloud.conf

1 Like

Super, merci aux devs

edit: Du coup, comment ça se passe pour ce genre de patch? Est-ce qu’on peut modifier ces fichiers manuellement maintenant sans risquer un conflit plus tard lors d’une prochaine mise à jour? Même si en ce qui me concerne le problème risque de ne pas se poser, puisque nginx râle lorsque j’édite à la main le fichier nextcloud.conf …

journalctl -xe me renvoie :
https://paste.yunohost.org/alunisejus.vbs

Pour info, sur mon serveur yunohost à jour, j’ai appliqué les recommandations y compris la remarque de JimboJoe dès que j’ai eu la notification, reload et restart nginx et tout fonctionne bien après cette modification.

Version de Nextcloud pour Yunohost mise à jour, n’oubliez pas de mettre à jour vos Nextcloud (via l’outil de Yunohost) au plus vite.


Nextcloud version updated, don’t forget to upgrade your Nextcloud (via Yunohost upgrade tool) as soon as possible.

3 Likes

Apparently Debian released a fix for both Stretch and Buster in the “security” though I dunno if that means you need a special apt repo for it

https://security-tracker.debian.org/tracker/CVE-2019-11043

5 Likes

Can I fix this issue by updating PHP alone, or do I also need to make the changes to the NGINX files mentioned above?

I believe that the upgrade of the php packages should be enough, but I’m not 100% expert about it …

1 Like