X

OwnCloud: Kritische Schwachstelle bedroht zahlreiche Cloud-Server

In der freien Cloud-Software ownCloud wurden schwerwiegende Lücken gefunden. Angreifer haben durch die Schwachstellen die Option, Daten abzugreifen und gespeicherte Dateien zu löschen. Administratoren sollten eine Funktion deaktivieren, um Attacken zu verhindern.
25.11.2023  16:43 Uhr
Bei der gefährlichsten Sicherheitslücke handelt es sich um einen Bug in den Versionen 0.2.0 bis 0.3.0 der Graph-API-Erweiterung. Sollte die Software in einem Container ausgeführt werden, können Hacker mithilfe der Schwachstelle an Admin-Zugangsdaten gelangen. Ein Update auf Build 0.3.1 soll das Problem beheben. Das Deaktivieren der API reicht nicht aus, um die Lücke zu schließen. Alternativ zu der Aktualisierung kann die phpinfo-Funktion in Docker-Containern deaktiviert werden. In diesem Fall empfiehlt ownCloud, auch die Datei "apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php" zu löschen. Anschließend sollten noch das Admin-Passwort und Zugangsdaten für den Mail-Server und die Datenbank geändert werden.

Cloud Computing: Die Nutzung in Deutschland nimmt zu
Infografik Cloud-Computing: Die Nutzung in Deutschland nimmt zu

Hacker können Dateien ohne Anmeldung löschen

Die zweite Lücke betrifft die Versionen 10.6.0 bis 10.13.0 der WebDAV-API. Sofern die Standardkonfiguration zum Einsatz kommt, können Angreifer ohne vorherige Authentifizierung Dateien löschen. Damit die Schwachstelle ausgenutzt werden kann, muss allerdings der entsprechende Benutzername bekannt sein. Zudem darf kein Signaturschlüssel festgelegt worden sein. Das Risiko kann vermieden werden, indem die Verwendung von vorsignierten URLs verboten wird.

Ein dritter Bug ist weniger kritisch und sorgt dafür, dass sich die Validierung einer Subdomain umgehen lässt. Das Problem betrifft die OAuth2-Bibliothek bis Version 0.6.1 und erlaubt es Hackern, Callbacks auf eine von ihnen kontrollierte Domain umzuleiten. Hier bietet es sich an, den Validierungs-Code in der OAuth2-App zu härten oder das Erlauben von Subdomains temporär abzuschalten. Mit dem neuesten Patch sollte jedoch auch diese Schwachstelle behoben sein.

Zusammenfassung
  • Schwere Lücken in Cloud-Software ownCloud entdeckt.
  • Angreifer könnten Daten abgreifen und löschen.
  • Graph-API-Bug kann Admin-Zugangsdaten leaken.
  • WebDAV-API-Lücke ermöglicht Löschen von Dateien.
  • Update auf Build 0.3.1 schließt die drei Lücken.
  • Bug in der OAuth2-Bibliothek umgeht Subdomain-Validierung.

Siehe auch: OwnCloud X: Großes Update bringt Marktplatz und Gruppen-Features
Verwandte Themen
Cloud
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture