OwnCloud: Kritische Schwachstelle bedroht zahlreiche Cloud-Server
In der freien Cloud-Software ownCloud wurden schwerwiegende Lücken gefunden. Angreifer haben durch die Schwachstellen die Option, Daten abzugreifen und gespeicherte Dateien zu löschen. Administratoren sollten eine Funktion deaktivieren, um Attacken zu verhindern.
Bei der gefährlichsten Sicherheitslücke handelt es sich um einen Bug in den Versionen 0.2.0 bis 0.3.0 der Graph-API-Erweiterung. Sollte die Software in einem Container ausgeführt werden, können Hacker mithilfe der Schwachstelle an Admin-Zugangsdaten gelangen. Ein Update auf Build 0.3.1 soll das Problem beheben. Das Deaktivieren der API reicht nicht aus, um die Lücke zu schließen.
Alternativ zu der Aktualisierung kann die phpinfo-Funktion in Docker-Containern deaktiviert werden. In diesem Fall empfiehlt ownCloud, auch die Datei "apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php" zu löschen. Anschließend sollten noch das Admin-Passwort und Zugangsdaten für den Mail-Server und die Datenbank geändert werden. Infografik Cloud-Computing: Die Nutzung in Deutschland nimmt zu
Ein dritter Bug ist weniger kritisch und sorgt dafür, dass sich die Validierung einer Subdomain umgehen lässt. Das Problem betrifft die OAuth2-Bibliothek bis Version 0.6.1 und erlaubt es Hackern, Callbacks auf eine von ihnen kontrollierte Domain umzuleiten. Hier bietet es sich an, den Validierungs-Code in der OAuth2-App zu härten oder das Erlauben von Subdomains temporär abzuschalten. Mit dem neuesten Patch sollte jedoch auch diese Schwachstelle behoben sein.
Download ownCloud Server - Privater Cloud-Speicher Siehe auch: OwnCloud X: Großes Update bringt Marktplatz und Gruppen-Features
Alternativ zu der Aktualisierung kann die phpinfo-Funktion in Docker-Containern deaktiviert werden. In diesem Fall empfiehlt ownCloud, auch die Datei "apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php" zu löschen. Anschließend sollten noch das Admin-Passwort und Zugangsdaten für den Mail-Server und die Datenbank geändert werden. Infografik Cloud-Computing: Die Nutzung in Deutschland nimmt zu
Hacker können Dateien ohne Anmeldung löschen
Die zweite Lücke betrifft die Versionen 10.6.0 bis 10.13.0 der WebDAV-API. Sofern die Standardkonfiguration zum Einsatz kommt, können Angreifer ohne vorherige Authentifizierung Dateien löschen. Damit die Schwachstelle ausgenutzt werden kann, muss allerdings der entsprechende Benutzername bekannt sein. Zudem darf kein Signaturschlüssel festgelegt worden sein. Das Risiko kann vermieden werden, indem die Verwendung von vorsignierten URLs verboten wird.Ein dritter Bug ist weniger kritisch und sorgt dafür, dass sich die Validierung einer Subdomain umgehen lässt. Das Problem betrifft die OAuth2-Bibliothek bis Version 0.6.1 und erlaubt es Hackern, Callbacks auf eine von ihnen kontrollierte Domain umzuleiten. Hier bietet es sich an, den Validierungs-Code in der OAuth2-App zu härten oder das Erlauben von Subdomains temporär abzuschalten. Mit dem neuesten Patch sollte jedoch auch diese Schwachstelle behoben sein.
Zusammenfassung
- Schwere Lücken in Cloud-Software ownCloud entdeckt.
- Angreifer könnten Daten abgreifen und löschen.
- Graph-API-Bug kann Admin-Zugangsdaten leaken.
- WebDAV-API-Lücke ermöglicht Löschen von Dateien.
- Update auf Build 0.3.1 schließt die drei Lücken.
- Bug in der OAuth2-Bibliothek umgeht Subdomain-Validierung.
Download ownCloud Server - Privater Cloud-Speicher Siehe auch: OwnCloud X: Großes Update bringt Marktplatz und Gruppen-Features
Thema:
Beliebte Downloads
Videos zum Thema Cloud
Beiträge aus dem Forum
-
LibreOffice-News: Office bald in Browser, Mobile und Cloud
d-hubs -
Nextcloud und IONOS bringen am 9. Juni die erste stabile Version
d-hubs -
Droid2PC: Android und Mac sinnvoll ohne Cloud-Zwang verbinden
Droid2PC_DE -
Nextcloud-Server auf einem Raspberry Pi betreiben
d-hubs -
#CloudFest Hackathon :: vom 20-22. März '26
d-hubs -
Datei öffnen dauert 30 Sekunden OneDrive
haylebob -
immich - Open-Source-Software: eine komplette Foto-Cloud
d-hubs -
Nextcloud Talk: MS-Teams Alternat., Open Source & DSGVO-kompatibel
d-hubs -
Office 365 Anmelden geht nicht
nitewish -
OneDrive speicherung von Dateiversionen
SeBu
Interessante Links
Beliebt im Preisvergleich
- NAS-Systeme:
Neue Nachrichten
- Galaxy Watch 9 & Ultra 2: Leak enthüllt Design der neuen Smartwatches
- Neue Weekend-Deals sind da: Media Markt & Saturn senken die Preise
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Ryzen-CPUs: AMD killt RAM-Verschlüsselung - und rudert jetzt zurück
- Windows 11 26H2: Microsoft veröffentlicht allererste Vorschau-Version
- Apple M6-Prozessoren: TSMC liefert erste 2nm-Chips für neue Macs
- Windows 11 26H2: Microsoft kündigt nächste OS-Version offiziell an
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen