ownCloud-Sicherheitsupdate zerschießt Installation

Nach einem Update auf die Versionen 5.0.1 und 5.0.2 stellt ownCloud die Funktion ein. Inzwischen haben die Entwickler nachgebessert.

In Pocket speichern vorlesen Druckansicht 130 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

In die Updates 5.0.1 und 5.0.2 für den Cloud-Server ownCloud hat sich ein fataler Fehler eingeschlichen: Nach dem Aktualisieren von Version 5.0 schaltet sich ownCloud in den Wartungsmodus und moniert das Fehlen einer Datenbanktabelle. Beide Versionen sind am gestrigen Dienstag erschienen. 5.0.1 schließt unter anderem eine kritische SQL-Injection- und mehrere Cross-Site-Scripting-Lücken, 5.0.2 beseitigt eine Hand voll Bugs.

Das Update-Problem hat etliche Admins offenbar eiskalt erwischt: Im Projektforum und bei github haben in der kurzen Zeit seit Veröffentlichung zahlreiche Betreiber von ownCloud-Installation um Rat gefragt. Inzwischen findet man im Forum einen dicken roten Warnhinweis, der eindringlich von der Installation der beiden Versionen abrät – allerdings ohne die Gründe zu nennen. Wer das Update durchgeführt hat, findet hier eine Anleitung, wie man die vorhandene Installation noch retten kann. Es läuft darauf hinaus, die fehlende Tabelle von Hand anzulegen und ownCloud aus dem Wartungsmodus zu holen.

Inzwischen gibt es eine Version 5.0.3 – das dritte Update innerhalb von 24 Stunden – das man wieder gefahrlos installieren können soll. Ein Blick ins Forum scheint dies zu bestätigen: Bislang sind dort keine weiteren Fehlerberichte aufgelaufen. Wer einen ownCloud-Server in Version 5.0 betreibt, sollte aufgrund der darin klaffenden Schwachstellen umgehend auf die aktuelle Ausgabe umsatteln – insbesondere dann, wenn der Server über das Internet erreichbar ist. ownCloud ist ein Open-Source-Projekt, es dürfte Cyber-Kriminellen also nicht schwer fallen, die verwundbaren Stellen im Quellcode aufzuspüren und einen passenden Exploit zu entwickeln.

Update vom 3. April, 20:45: Wie uns Lukas Reschke, der dem ownCloud-Sicherheitsteam angehört, mitteilte, betreffen die oben geschilderten Schwachstellen ausschließlich den 5er Versionszweig. Der Artikel wurde entsprechend korrigiert.

Siehe hierzu auch:

(rei)