ownCloud: Update stopft teils hochriskante Sicherheitslücken
Das ownCloud-Projekt warnt vor Sicherheitslücken in der Kollaborationssoftware. Angreifer können etwa Zugriff auf Zugangsdaten erlangen.
Schwachstellen bedrohen Appliances.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
ownCloud warnt in Sicherheitsmitteilungen vor Schwachstellen in ownCloud und ownCloud/Diagnostics. Ein Sicherheitsleck gilt als hohes Risiko. Aktualisierte Software steht bereits seit Mitte Juni bereit.
Nur knapp an der Einstufung als kritisches Risiko schrammt eine Lücke vorbei, die die Entwickler als unsichere direkte Objekt-Referenz in der externen Speicher-Konfiguration beschreiben. Dadurch können angemeldete Angreifer die Konfigurationen des externen Speichers anderer Nutzerinnen und Nutzer manipulieren sowie Zugriff auf Zugangsdaten erlangen (CVE-2024-37010, CVSS 8.8, Risiko "hoch").
Zwei mittel-riskante Lücken
In der "federated sharing API" können Angreifer ohne vorherige Authentifizierung zudem eine Schwachstelle des Typs Server-Side Request Forgery ausnutzen, um interne Dienste zu identifizieren. Zudem kann der Server aufgrund eines unzureichenden Time-out-Handlings mit Denial-of-Service-Attacken lahmgelegt werden (CVE-2024-37012, CVSS 5.3, mittel). In Sharing-Benachrichtigungen können authentifizierte Angreifer zudem aufgrund unzureichendem URL-Handling bösartige URLs in die Mails an andere Nutzer pflanzen (CVE-2024-37009, CVSS 4.3, mittel). Die zwei weiteren Schwachstellen erhalten von den Entwicklern die Einstufung als niedriges Risiko.
Die Schwachstellen bessern Version 10.15.0 und neuer von ownCloud/core sowie owncloud/diagnostics in Fassung 0.2.1 aus. Die Sicherheitsmitteilungen von ownCloud absteigend nach Risiko sortiert:
- Insecure Direct Object Reference in external storage (CVSS 8.8)
- Server-Side Request Forgery in federated sharing (CVSS 5.3)
- URL manipulation when sharing files via email (CVSS 4.3)
- Cross-site Request Forgery in diagnostics app (CVSS 3.1)
- Improper access control in SVG preview generation (CVSS 3.1)
Aktuell steht Version 10.15.0 von ownCloud auf der Download-Seite des Projekts zum Herunterladen bereit. Die Version erschien bereits Mitte Juni dieses Jahres, ohne jedoch zu dem Zeitpunkt auf darin geschlossene Sicherheitslücken hinzuweisen.
Lesen Sie auch
Scans zu kritischer Sicherheitslücke in ownCloud-Plugin
Betreiber von ownCloud-Instanzen sollten die Aktualisierung rasch vornehmen, sofern die Software noch nicht auf dem aktuellen Stand ist. Ende November vergangenen Jahres wurde eine Schwachstelle im GraphAPI-Plug-in von ownCloud bekannt, die zur Preisgabe der Admin-Zugangsdaten führen konnte. In dem Zeitraum hatten IT-Sicherheitsforscher vermehrt Scan-Aktivitäten im Internet ausgemacht, die auf die Lücke abzielten.
(dmk)