Si vous utilisez la solution Nextcloud pour stocker et partager vos données sur votre NAS ou sur l'un de vos serveurs, il y a des chances pour que vous utilisiez également Nextcloud Desktop. Mauvaises nouvelles : il contient plusieurs failles de sécurité et doit être mis à jour.

Lorsqu'il est installé sur une machine, le client Nextcloud Desktop permet d'accéder à ses données Nextcloud à partir de l'explorateur de fichiers du système, et de synchroniser les fichiers en local. Sur le même principe que les clients d'autres solutions telles que OneDrive ou Dropbox.

Si vous utilisez une version antérieure à la version 3.3.0, vous êtes vulnérables à plusieurs failles de sécurité : CVE-2021-32728 et CVE-2021-37617.

La première faille de sécurité peut porter atteinte à la confidentialité des données, car il y a une faille dans le processus de communication entre le client et le serveur Nextcloud. Cela pourrait permettre à l'attaquant de forcer le client à utiliser une clé privée malveillante, dans le but d'avoir accès aux données et aux flux, malgré qu'ils soient chiffrés.

La seconde faille de sécurité concerne l'exécutable "uninstall.exe" qui permet de désinstaller le client Nextcloud. Problème : l'assistant de désinstallation recherche le fichier "uninstall.exe" dans un dossier qui est accessible en écriture par les utilisateurs standards. Un attaquant pourrait créer un fichier "uninstall.exe" malveillant, il serait alors exécuté par le client Nextcloud.

Pour vérifier la version de Nextcloud Desktop à partir de l'interface du logiciel, effectuez un clic droit sur l'icône et cliquez sur "Paramètres". Ensuite, cliquez sur le bouton "Paramètres" en haut à droite. Dans la section "A propos" le numéro de version s'affiche. Encore en dessous, vous pouvez vérifier la présence de mises à jour si besoin.

Source

The post Nextcloud : deux failles de sécurité dans le client Nextcloud Desktop first appeared on IT-Connect.