Updates schließen kritische ownCloud-Lücken
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen.
- Ronald Eikenberg
Mit der ownCloud-Version 5.0.6 schließen die Entwickler mehrere kritische Schwachstellen in ihrem Cloud-Server. Durch die Lücken kann ein authentifizierter Nutzer etwa SQL-Befehle und PHP-Code in den Server einschleusen oder auch die Kalender anderer Nutzer herunterladen.
Auch ohne Authentifizierung können Angreifer durch Cross Site Request Forgery API-Befehle als Admin ausführen oder eine offene Weiterleitung für Phishing missbrauchen. Kurzum: wer einen ownCloud-Server bertreibt, sollte das Update umgehend durchführen. Außerdem behebt das Update zahlreiche Bugs.
Einige der Lücken betreffen auch die Versionszweige 4.0.x und 4.5.x, für deren Nutzer die abgesicherten Versionen 4.0.15 respektive 4.5.11 veröffentlicht wurden.
Tipps zur Synchronisation von Kalendern und Kontakten mit ownCloud finden Sie in der aktuellen c't 11/2013 auf Seite 128. (rei)
