Nextcloud Nginx CVE-2019-11043

tufek · October 26, 2019, 3:38pm

Hello tout le monde.
Petite question concernant la faille publiée il y a deux jours:

Sur mon rpi3 après avoir fait toutes les mises à jour ma version de php-fpm est la suivante:

$ php-fpm7.0 -v
PHP 7.0.33-0+deb9u5 (fpm-fcgi) (built: Sep 18 2019 09:55:34)

et aucune trace des bouts de code à modifier:

location / {
                rewrite ^ /index.php$request_uri;
            }

et celui commençant par

location ~ ^\/(?:index|remote|public|cron|core\/ajax\/update|status|ocs\/v[12]|updater\/.+|oc[ms]-provider\/.+)\.php(?:$|\/) {
                fastcgi_split_path_info ^(.+?\.php)(\/.*|)$;

dans mon fichier /etc/nginx/nginx.conf edit: donc pas tellement de possibilité de patcher?

Est-ce qu’on peut commencer à paniquer?

kumamon

Mon serveur YunoHost

Matériel: rpi 3
Version de YunoHost: 3.6.5.2

Lapineige · October 26, 2019, 4:04pm

Le correction est en cours d’intégration directement dans l’application Nextcloud de Yunohost.

Pour Nginx : Il faut modifier /etc/nginx/cond.d/domainedunextcloud.d/nextcloud.conf

tufek · October 26, 2019, 4:16pm

Super, merci aux devs

edit: Du coup, comment ça se passe pour ce genre de patch? Est-ce qu’on peut modifier ces fichiers manuellement maintenant sans risquer un conflit plus tard lors d’une prochaine mise à jour? Même si en ce qui me concerne le problème risque de ne pas se poser, puisque nginx râle lorsque j’édite à la main le fichier nextcloud.conf …

journalctl -xe me renvoie :
https://paste.yunohost.org/alunisejus.vbs

metyun · October 26, 2019, 6:15pm

Pour info, sur mon serveur yunohost à jour, j’ai appliqué les recommandations y compris la remarque de JimboJoe dès que j’ai eu la notification, reload et restart nginx et tout fonctionne bien après cette modification.

Lapineige · October 28, 2019, 8:17pm

Version de Nextcloud pour Yunohost mise à jour, n’oubliez pas de mettre à jour vos Nextcloud (via l’outil de Yunohost) au plus vite.

Nextcloud version updated, don’t forget to upgrade your Nextcloud (via Yunohost upgrade tool) as soon as possible.

Aleks · October 28, 2019, 11:14pm

Apparently Debian released a fix for both Stretch and Buster in the “security” though I dunno if that means you need a special apt repo for it

https://security-tracker.debian.org/tracker/CVE-2019-11043

dosch · November 8, 2019, 9:52am

Can I fix this issue by updating PHP alone, or do I also need to make the changes to the NGINX files mentioned above?

Aleks · November 8, 2019, 12:45pm

I believe that the upgrade of the php packages should be enough, but I’m not 100% expert about it …

system · November 23, 2019, 12:45pm

This topic was automatically closed 15 days after the last reply. New replies are no longer allowed.