Bonjour.
Il y a une alerte sur le logiciel Nextcloud :
SYSTÈMES AFFECTÉS:
- Nextcloud Server versions 22.x antérieures à 22.2.4
https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-395/
Pour voir la version de votre Nextcloud (y a sûrement plus simple)
sudo yunohost app list | grep -A1 "name: Nextcloud"
Bonjour,
La commande ne fonctionne que si le nom de la tuile n’a pas été changée, mieux vaut dans ce cas utiliser:
yunohost app list | grep -A2 "nextcloud"
Et effectivement il y a plus simple avec l’url:
https://domain.tld/status.php
Pour en revenir à cette alerte de sécurité, un Nextcloud à jour sur yunohost serait concerné car il s’agit de la version 22.2.3. je n’ai pas regardé le processus de l’attaque, l’as-tu fais et si oui, est-ce une faille critique?
J’ai juste regardé vite fait …
Il est possible de créer des fichiers et des dossiers comportant les caractères \n, \r, \t et \v en tête et en queue. Le serveur rejette les fichiers et les dossiers dont le nom contient ces caractères au milieu, ce qui peut constituer une opportunité d’injection.
Il est possible de pousser les administrateurs à activer les applications recommandées pour le serveur Nextcloud.
Une procédure de mise à jour vers 22.2.7 est en cours de test: 22.2.7 by zamentur · Pull Request #483 · YunoHost-Apps/nextcloud_ynh · GitHub .
De mon côté je suis pas dispo pour le reste de la matinée @yalh76 @Kayou @tituspijean sentez-vous libre de fusionner si c’est bon pour vous.
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.