Sicherheitslücken in Cloud-Software Nextcloud und ownCloud entdeckt
OwnCloud und Nextcloud sind weit verbreitete Open-Source-Alternativen zu proprietären Cloud-Diensten wie Dropbox, Google Drive oder Microsoft OneDrive. Nutzer können mit den quelloffenen Lösungen Nextcloud und ownCloud eigene Server betreiben, allerdings sind in beiden Programmen kürzlich Sicherheitslücken aufgetaucht. Wer jedoch die aktuellen Versionen einsetzt, ist vor Angreifern geschützt, die die neuen Lücken ausnutzen.
Bei Nextcloud können böswillige Dritte den Zugriff auf Dateien auf dem Cloud-Server sperren, wobei Nextcloud die Details eines solchen Angriffs verschweigt - vermutlich um Nachahmer abzuhalten. Die Nextcloud-Sicherheitslücke mit der Bezeichnung CVE-2023-48239 wird vom Entwickler selbst auf GitHub als "hoch" eingestuft. Der Hersteller empfiehlt ein Update auf eine aktuelle Version von Nextcloud Server (25.0.13, 26.0.8 oder 27.1.3) oder Nextcloud Enterprise Server (20.0.14.16, 21.0.9.13, 22.2.10.15, 23.0.12.12, 24.0.12.8, 25.0.13, 26.0.8 oder 27.1.3).
Update 08. Dezember 2023: Nextcloud hat uns kontaktiert und bitte um Ergänzung und Klarstellung der Sicherheitslücke. Die Lücke in Nextcloud "erlaubt es Dritten NICHT, auf Daten zuzugreifen, es macht lediglich die Konfiguration für den externen Speicher unbrauchbar und blockiert den Zugriff. Es gibt keine Daten preis. Im Gegensatz zu ownCloud ist auch ein Benutzerkonto erforderlich und Server, die diese Funktion nicht nutzen, sind überhaupt nicht betroffen." schreibt uns Jos Poortvliet von Nextcloud.
OwnCloud berichtet im hauseigenen Blog von drei Sicherheitslücken, die der Hersteller allesamt als "kritisch" einstuft. So können in ownCloud-Versionen älter als 10.13.3 über die Drittanbieter-Bibliothek "GraphAPI" Login-Informationen, beispielsweise auch das Admin-Passwort, ausspioniert werden. Die zweite ownCloud-Schwachstelle betrifft eine weitere Programmierschnittstelle, kurz API: Über die WebDAV-API können Angreifer ohne Login Dateien auf dem Server löschen. Die dritte Lücke besteht in der OAuth2-Applikation, über die Dritte einen URL-Redirect einschleusen können. Alle drei Lücken sind laut ownCloud bereits mit der im September 2023 veröffentlichten Version 10.13.1 behoben.