Update YunoHost and Nextcloud to fix a security flaw

,

EN :uk:

Several Nextcloud security vulnerabilities were made public on Monday 6th September 2021, it is recommended to:

  1. upgrade YunoHost to 4.2.8.3+ (required for the update to work)
  2. If you have a modified mysql conf file, apply manually change or return to the default version with yunohost tools regen-conf --with-diff mysql -f
  3. upgrade the Nextcloud application to version 22.1+.
  4. upgrade Nextcloud modules

If you can’t upgrade, be aware that these flaws are significant and some can allow :

  • the execution of malicious code by a third party
  • the use of only one authentication method among your 2 methods if you have activated the double authentication
  • the decryption of your files by a person able to read nextcloud logs (if you use the encryption option of Nextcloud)
  • the access by a person with a Nextcloud account to private data in deck and with circle

If you can’t upgrade, it is therefore strongly advised in this case to:

  • use updated browsers
  • disable the creation of thumbnails via enable_previews set to false in /var/www/nextcloud/config/config.php
  • disable share links in upload and upload only mode
  • disable RichDocuments module
  • disable Circle and Deck modules if you can’t trust your users and if they have an account on nextcloud
  • disable logging and delete the log file if you use encryption

FR :fr:

Plusieurs failles de sécurité de Nextcloud ont été rendues publiques lundi, il est recommandé de :

  1. mettre à jour YunoHost en 4.2.8.3+ (nécessaire pour que la mise à jour fonctionne)
  2. Si vous avez modifié manuellement votre fichier mysql, réappliquez les changement ou retournez à la version par défaut avec la commande: yunohost tools regen-conf --with-diff mysql -f
  3. mettre à jour l’application Nextcloud vers la version 22.1+
  4. mettre Ă  jour les modules Nextcloud

Si vous ne pouvez pas mettre Ă  jour, sachez que ces failles sont importantes et certaines peuvent permettre :

  • l’exĂ©cution de code malveillants par un tiers
  • l’utilisation d’un seul moyen d’authentification parmi vos 2 moyens si vous avez activer la double authentification
  • le dĂ©chiffrement de vos fichiers par une personne pouvant lire les logs nextcloud (si vous utilisez l’option de chiffrement de Nextcloud)
  • l’accès par des personnes ayant un compte Ă  des donnĂ©es privĂ©es dans Deck et avec Circle

Si vous ne pouvez pas mettre à jour, Il est donc fortement conseillé dans ce cas de:

  • utiliser des navigateurs Ă  jour
  • dĂ©sactiver la crĂ©ation des vignettes via enable_previews mis Ă  false dans /var/www/nextcloud/config/config.php
  • dĂ©sactiver les liens de partages en mode upload et upload only
  • dĂ©sactiver le module RichDocuments
  • dĂ©sactiver les modules Circle et Deck si vous ne pouvez pas faire confiance Ă  vos utilisateurâ‹…ices et si iels ont un compte sur nextcloud
  • dĂ©sactiver le logging et supprimer le fichier de log si vous utilisez le chiffrement
10 Likes

Bonjour la communauté,
Juste pour vous informer que cette mise à jour s’est bien déroulée pour moi, hormis quelques applications déactivées car non compatible avec cette version.

Et merci aux mainteneurs pour nous avoir fournis cette mise Ă  jour rapidement, bravo Ă  vous.

2 Likes

Nom di diou !
Ok ca parait s’être bien passé ici. Merci

2 posts were split to a new topic: Nextcloud en mode maintenance après upgrade

J’ai suivi point par point la procédure indiquée, j’avais le module deck d’activé et des modifications dans le fichier de conf mysql.
Après avoir fait tout ça la mise à jour a été réalisée sans soucis.

Je te remercie pour ton message qui a croisé ma réponse :wink:
Je pense que ça devait être le module Deck car tout le reste ne me semble pas en corrélation avec ce qu’il se passait. J’avais essayé d’enlever le mode maintenance mais le site renvoyé une erreur de chargement.
Bref problème résolu.
Cdt