Cloud-Computing-Software ownCloud und Nextcloud angreifbar
Angreifer können unbefugt auf Dateien auf Nextcloud- und ownCloud-Servern zugreifen. Sicherheitsupdates und Workarounds schaffen Abhilfe.
Aufgrund von mehreren Schwachstellen sind Attacken auf die freien Cloud-Computing-Softwares ownCloud und Nextcloud vorstellbar. Im schlimmsten Fall können Angreifer auf Servern abgelegte Dateien löschen.
LĂĽcken in ownCloud
Am gefährlichsten gilt eine "kritische" Sicherheitslücke mit Höchstwertung (CVSS Score v3 10 von 10) in der Graph-API-Erweiterung Version 0.2.0 bis 0.3.0. CVE-Nummern sind in den Warnmeldungen nicht angegeben. In einer Container-Umgebung können aufgrund der Schwachstelle unter anderem Admin-Zugangsdaten leaken. Hier soll die Ausgabe 0.3.1 Abhilfe schaffen.
Die zweite "kritische" Lücke betrifft die WebDAV API (core 10.6.0 bis 10.13.0). Hier kann ein Angreifer in den Standardeinstellungen ohne Authentifizierung Dateien löschen. Hier soll das Verbieten von vorsignierten URLs Abhilfe schaffen.
Durch das erfolgreiche Ausnutzen einer "kritischen" Schwachstelle in der OAuth-Erweiterung kann ein Angreifer Callbacks umleiten. Die Ausgabe 0.6.1 soll dagegen abgesichert sein.
Wie uns ein ownCloud-Sprecher mitteilte, ist die Software seit September 2023 mit der Ausgabe 10.13.1 gegen die möglichen Attacken abgesichert.
Nextcloud
Setze ein Angreifer erfolgreich an einer Lücke (CVE-2023-48239 "hoch") in Nextcloud an, kann er den Zugriff auf Dateien sperren. Wie so eine Attacke ablaufen könnte, ist bislang unklar. In einem Beitrag geben die Entwickler an, das Sicherheitsproblem in den folgenden Versionen gelöst zu haben:
- Server (Nextcloud) 25.0.13, 26.0.8, 27.1.3
- Server (Nextcloud Enterprise) 20.0.14.16, 21.0.9.13, 22.2.10.15, 23.0.12.12, 24.0.12.8, 25.0.13, 26.0.8, 27.1.3
Sicherheitsupdates ownCloud im Fließtext ergänzt.
(des)