Für die Versionszweige 26 und 27 der Nextcloud Server-Software sind Sicherheitsupdates verfügbar, die unter anderem auch ein Problem mit unendlich gültigen OAuth-Codes beheben.
Die Schwachstelle in der OAuth-Authenfizierung des Nextcloud Servers war in der vergangenen Woche bekannt geworden. In der CVE-Datenbank wurde die Sicherheitslücke am 18. Januar unter der Nummer CVE-2024-22403 mit einem niedrigen Schweregrad veröffentlicht.
In der Nextcloud Server-Version 28, die auch die Basis für den aktuellen Nextcloud Hub 7 ist, ist das Problem bereits behoben. Da auch die Versionszweige 26 und 27 immer noch offiziell von Nextcloud unterstützt und mit Updates versorgt werden, wurden die entsprechenden Korrekturen nun auf diese Versionen zurück portiert („Backporting“). In den gestern veröffentlichten Versionen 26.0.11 und 27.1.6 ist das Problem nun ebenfalls behoben.
Neben dem OAuth-Problem werden in den neuen Ausgaben auch noch eine ganze Reihe von weiteren Fehlern korrigiert, so dass ein Update dringend angeraten ist. Die neuen Versionen lassen sich wie gewohnt über die in Nextcloud integrierte Update-Funktion einspielen.
Wer noch die Nextcloud-Version 26 bzw. den Nextcloud Hub 4 einsetzt, sollte sich langsam über ein Upgrade auf eine neuere Version Gedanken machen, da die Lebenszeit bzw. der Update-Support für den Versionszweig 26 voraussichtlich im März 2024 enden wird.