Nextcloud : deux failles de sécurité dans le client Nextcloud Desktop

Si vous utilisez la solution Nextcloud pour stocker et partager vos données sur votre NAS ou sur l'un de vos serveurs, il y a des chances pour que vous utilisiez également Nextcloud Desktop. Mauvaises nouvelles : il contient plusieurs failles de sécurité et doit être mis à jour.

Lorsqu'il est installé sur une machine, le client Nextcloud Desktop permet d'accéder à ses données Nextcloud à partir de l'explorateur de fichiers du système, et de synchroniser les fichiers en local. Sur le même principe que les clients d'autres solutions telles que OneDrive ou Dropbox.

Si vous utilisez une version antérieure à la version 3.3.0, vous êtes vulnérables à plusieurs failles de sécurité : CVE-2021-32728 et CVE-2021-37617.

La première faille de sécurité peut porter atteinte à la confidentialité des données, car il y a une faille dans le processus de communication entre le client et le serveur Nextcloud. Cela pourrait permettre à l'attaquant de forcer le client à utiliser une clé privée malveillante, dans le but d'avoir accès aux données et aux flux, malgré qu'ils soient chiffrés.

La seconde faille de sécurité concerne l'exécutable "uninstall.exe" qui permet de désinstaller le client Nextcloud. Problème : l'assistant de désinstallation recherche le fichier "uninstall.exe" dans un dossier qui est accessible en écriture par les utilisateurs standards. Un attaquant pourrait créer un fichier "uninstall.exe" malveillant, il serait alors exécuté par le client Nextcloud.

Pour vérifier la version de Nextcloud Desktop à partir de l'interface du logiciel, effectuez un clic droit sur l'icône et cliquez sur "Paramètres". Ensuite, cliquez sur le bouton "Paramètres" en haut à droite. Dans la section "A propos" le numéro de version s'affiche. Encore en dessous, vous pouvez vérifier la présence de mises à jour si besoin.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau et cofondateur d'IT-Connect. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3208 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.