Update YunoHost and Nextcloud to fix a security flaw

,

EN :uk:

Several Nextcloud security vulnerabilities were made public on Monday 6th September 2021, it is recommended to:

  1. upgrade YunoHost to 4.2.8.3+ (required for the update to work)
  2. If you have a modified mysql conf file, apply manually change or return to the default version with yunohost tools regen-conf --with-diff mysql -f
  3. upgrade the Nextcloud application to version 22.1+.
  4. upgrade Nextcloud modules

If you can’t upgrade, be aware that these flaws are significant and some can allow :

  • the execution of malicious code by a third party
  • the use of only one authentication method among your 2 methods if you have activated the double authentication
  • the decryption of your files by a person able to read nextcloud logs (if you use the encryption option of Nextcloud)
  • the access by a person with a Nextcloud account to private data in deck and with circle

If you can’t upgrade, it is therefore strongly advised in this case to:

  • use updated browsers
  • disable the creation of thumbnails via enable_previews set to false in /var/www/nextcloud/config/config.php
  • disable share links in upload and upload only mode
  • disable RichDocuments module
  • disable Circle and Deck modules if you can’t trust your users and if they have an account on nextcloud
  • disable logging and delete the log file if you use encryption

FR :fr:

Plusieurs failles de sécurité de Nextcloud ont été rendues publiques lundi, il est recommandé de :

  1. mettre à jour YunoHost en 4.2.8.3+ (nécessaire pour que la mise à jour fonctionne)
  2. Si vous avez modifié manuellement votre fichier mysql, réappliquez les changement ou retournez à la version par défaut avec la commande: yunohost tools regen-conf --with-diff mysql -f
  3. mettre à jour l’application Nextcloud vers la version 22.1+
  4. mettre Ă  jour les modules Nextcloud

Si vous ne pouvez pas mettre Ă  jour, sachez que ces failles sont importantes et certaines peuvent permettre :

  • l’exĂ©cution de code malveillants par un tiers
  • l’utilisation d’un seul moyen d’authentification parmi vos 2 moyens si vous avez activer la double authentification
  • le dĂ©chiffrement de vos fichiers par une personne pouvant lire les logs nextcloud (si vous utilisez l’option de chiffrement de Nextcloud)
  • l’accès par des personnes ayant un compte Ă  des donnĂ©es privĂ©es dans Deck et avec Circle

Si vous ne pouvez pas mettre à jour, Il est donc fortement conseillé dans ce cas de:

  • utiliser des navigateurs Ă  jour
  • dĂ©sactiver la crĂ©ation des vignettes via enable_previews mis Ă  false dans /var/www/nextcloud/config/config.php
  • dĂ©sactiver les liens de partages en mode upload et upload only
  • dĂ©sactiver le module RichDocuments
  • dĂ©sactiver les modules Circle et Deck si vous ne pouvez pas faire confiance Ă  vos utilisateurâ‹…ices et si iels ont un compte sur nextcloud
  • dĂ©sactiver le logging et supprimer le fichier de log si vous utilisez le chiffrement
10 Likes

Bonjour la communauté,
Juste pour vous informer que cette mise à jour s’est bien déroulée pour moi, hormis quelques applications déactivées car non compatible avec cette version.

Et merci aux mainteneurs pour nous avoir fournis cette mise Ă  jour rapidement, bravo Ă  vous.

2 Likes

Nom di diou !
Ok ca parait s’être bien passé ici. Merci