[nextcloud] Persistance d'une session utilisateur malgré un logout

Bonjour les Chatons !

Une régression entre l’application text et le server nextcloud permet à un attaquant de récupérer le coockie de la session d’un utilisateur malgré sa déconnexion ce qui est très désagréable.

La parade immédiate est de désactiver l’application text

[-u www-data] php occ app:disable text

Un patch est disponible pour NC 25 → 25.0.6
et pour les plus téméraires NC 26 → 26.0.1 :smile:

Ces maj permettent de corriger un autre bug ² .

Après ça, vous aurez le droit d’aller buller dans l’herbe et de profiter de cette belle journée :beach_umbrella: .


¹ User session not correctly destroyed on logout · Advisory · nextcloud/security-advisories · GitHub
² Basic auth header on WebDAV requests is not brute-force protected · Advisory · nextcloud/security-advisories · GitHub

2 « J'aime »