zurück zum Artikel

Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen.

Mit der ownCloud-Version 5.0.6 schließen die Entwickler mehrere kritische Schwachstellen [1] in ihrem Cloud-Server. Durch die Lücken kann ein authentifizierter Nutzer etwa SQL-Befehle [2] und PHP-Code [3] in den Server einschleusen oder auch die Kalender anderer Nutzer herunterladen [4].

Auch ohne Authentifizierung können Angreifer durch Cross Site Request Forgery API-Befehle als Admin ausführen [5] oder eine offene Weiterleitung [6] für Phishing missbrauchen. Kurzum: wer einen ownCloud-Server bertreibt, sollte das Update umgehend durchführen. Außerdem behebt das Update zahlreiche Bugs.

Einige der Lücken betreffen auch die Versionszweige 4.0.x und 4.5.x, für deren Nutzer die abgesicherten Versionen 4.0.15 respektive 4.5.11 veröffentlicht wurden.

Tipps zur Synchronisation von Kalendern und Kontakten mit ownCloud finden Sie in der aktuellen c't 11/2013 auf Seite 128 [7]. (rei [8])

URL dieses Artikels:
https://www.heise.de/-1864797

Links in diesem Artikel:
[1] http://owncloud.org/changelog/
[2] http://owncloud.org/about/security/advisories/oC-SA-2013-019/
[3] http://owncloud.org/about/security/advisories/oC-SA-2013-026/
[4] http://owncloud.org/about/security/advisories/oC-SA-2013-024/
[5] http://owncloud.org/about/security/advisories/oC-SA-2013-025/
[6] http://owncloud.org/about/security/advisories/oC-SA-2013-022/
[7] http://www.heise.de/ct/inhalt/2013/11/128/
[8] mailto:rei@heise.de

Copyright © 2013 Heise Medien