Schwachstellen in ownCloud und NextCloud

Sicherheit (Pexels, allgemeine Nutzung)Die Woche gab es Sicherheitsmeldungen über gravierenden Schwachstellen in der Open Source-Software ownCloud und NextCloud, die in Container-Umgebungen den Klau von Anmeldedaten und mehr ermöglichen. Zum 21. Nov. 2023 gab es diese ownCloud-Sicherheitswarnung sowie diese Sicherheitswarnung zu Schwachstellen. NextCloud hat diese Sicherheitswarnung herausgegeben. Artikel zu den Schwachstellen finden sich bei heise und Bleeping Computer.


Anzeige

Dieser Beitrag wurde unter Cloud, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

19 Antworten zu Schwachstellen in ownCloud und NextCloud

  1. Anonymous sagt:

    Zur Info: Es sind nur vergleichsweise alte Versionen z.B. Nextcloud vom Juni betroffen…

    • Daniel sagt:

      Will ich wissen, wie viele Instanzen da draußen nicht up2date sind? Aber ja, Recht hast Du. Juni ist in dieser schnelllebigen Zeit lange, lange her.

      • Dat Bundesferkel sagt:

        Das ist doch das Problem der jeweiligen Betreiber. Die Pflege ist kinderleicht. Der Test via scan.nextcloud.com ebenfalls.

        • Fritz sagt:

          Mich hat der Bericht zum jetzigen Zeitpunkt auch verwundert.

          Nachsehen ergab, daß das vor etwa einem Monat eingespielte Update (das System selbst benachrichtigt, wen es eine neue Version gibt) weiterhin aktuell ist.

          Vermutlich ergibt sich die Pressemitteilung aus der Timline für "reasonable disclosure", wobei zwischen Verfügbarkeit des Updates und Offenlegung der Schwachstelle eine gewisse Zeit vergehen muß.

  2. MS6800 sagt:

    Also da muss ich aber hier einen Hoster den wir für Nextcloud verwenden wirklich loben. Ich war die Woche so voll, dass ich mir keine IT-News angeschaut habe. Im Postfach bekamm ich eine E-Mail, die mich auf das Sicherheitsproblem hingewiesen hatte. Nur als Off Topic

  3. Ralph D. Kärner sagt:

    Ein kurzer Blick über die von mir verwalteten Instanzen ergab: erstens gibt es hier keine Container, sondern virtuelle Maschinen. Zweitens sind alle Instanzen auf dem aktuellen Stand. Da kann ich mich ja entspannt zurücklehnen.

  4. Luzifer sagt:

    Also nur outdated Versionen … Fehler eindeutig beim User!
    Wer solche Systeme betreibt und nicht up2date hält sollte lebenslang gesperrt fürs Netz werden.

    Das sind Admin Grundregeln.

    • Ralph D. Kärner sagt:

      Dann müsstest Du zunächst den Betrieb von mehreren Millionen Wintendo-Servern in Rechenzentren ungeschützt am öffentlichen Netz verbieten, die von irgendwelchen Kids betrieben werden, die unbedingt einen Minecraft-, Ark Survival oder sonstigen Gameserver meinen brauchen zu müssen.

      • Dat Bundesferkel sagt:

        Mhm, ich würde mich eher auf professionelle Unternehmen fixieren.

        Habel mal bei 'nem Consultant gewerkelt, der es den Mitarbeitern ausdrücklich *verboten* hat, die Systeme der Kunden aktuell zu halten.

        Begründung:
        – Mögliche Inkompabilität zu eingesetzten Produkten (SAGE … Grützenware, selten so einen Müll gesehen)
        – Mögliche ausbleibende Aufträge der Kunden durch gepatchte, bekannte Fehler (unverzeihlich!)

        Nicht mal fehlerbehaftete Treiber durften ausgetauscht werden (bekannt für Fehler unter Hyper-V und Clustering… fehlerbereinigte Treiber durften nicht eingespielt werden).

        Die Geschichte mit "Mein Schiff" – die ja auch gehackselt wurden… war ebenfalls Kunde des Unternehmens, bei dem ich werkelte.

        Vorteil bei denen: (Fast) Zero-Trust, Produktiv-Umgebung ist geklont (für Vorab-Tests), Zugriff erfolgt nur via Freigabe durch Administrator (Anmeldung vorab).

        Nachteil: Keinerlei Prüfung der Gegenseite. Fire and Forget.

        Laß die Kids mit ihren Minecraft-Server zocken, ein RZ sollte es bemerken, wenn da eine Instanz Teil eines Botnetzes wird.
        Die Unternehmen sind um Welten schlimmer…

  5. Adrian W. sagt:

    Also ich verstehe ehrlich gesagt "Eure" Sprüche bzgl. alten Versionen, nicht up to date, nur outdated Versionen und "…verwundbare Version betrieben, für die es schon seit Monaten ein Update gab", usw. nicht so ganz,
    denn die gepachten Versionen z. B. der NC 25.x, 26.x und 27.x sind alle vom 26. Oktober 2023.

    Da denke ich, bleibt lieber auf Teppich mit solchen Sprüchen, ist erst 1 Monat :-)

    Was mir viel mehr du denken gibt, ist die immer wiederkehrende, miserable Aktualisierung der Changlogs auf der NC-Webseite, bestes bsp. dazu wieder die seit Tagen vorhandene 26.0.9, da gibts noch immer keinen off. Changelog auf der Webseite.

    • Luzifer sagt:

      Wir haben fast Dezember! Sicherheitslücken ist ein Monat schon grob fahrlässig.

      System Updates ist Admin Grundregel, wer das vernachlässigt ist im falschen Job! Erst recht bei Soft/Hardware die dazu bestimmt ist im Netz zu hängen.
      Würde hier der ITler nicht mal die Grundregeln berücksichtigen dürfte er seine Papiere holen!

      • Luzifer sagt:

        /edit/
        aber sieht man ja an den täglichen News, wo Firmen wieder mal gehackt wurden und Daten verloren haben… Fachpersonal ist eben schwer zu kriegen.

      • Dat Bundesferkel sagt:

        Zumal man den Prozess auch wunderbar automatisieren kann…

        Null Verständnis für nachlässige Administratoren, die nicht up-to-date sind.

      • Adrian W. sagt:

        Grundsätzlich im Pinzip schon korrekt, nur gehört imho des weiteren zu den Grundregeln, dass man zuerst die Changelogs liest (und versteht) und erst danach die Updates einspielt, somit ist der weiter erwähnte Punkt "….Zumal man den Prozess auch wunderbar automatisieren kann…" auch mehr als fragwürdig, ausser das durchlesen (und verstehen) ist auch automatisiert :-)
        Mit anderen Worten, ist daher zuerst mal in erster Linie der Hersteller dafür verantwortlich, dass aktuelle Changelogs vorhanden sind und in dieser Displizin ist Nextcloud eine Katastrophe.

        • Dat Bundesferkel sagt:

          SICHERHEITSAKTUALISIERUNGEN mußt Du nicht vorab "lesen und verstehen".
          Kern-Komponenten sind kompromittiert und müssen aktualisiert werden. Grundschulwissen.

          Wer sich hier an Automatisierung aufhängt, sollte seine Position in öffentlich erreichbarer IT durchaus selber in Frage stellen.
          Andererseits, wenn man sich so die alltäglichen, erfolgreichen Cyber-Angriffe in Deutschland anschaut, überrascht mich nichts mehr.

          • Anonymous sagt:

            Oft werden Sicherheitsupdates nicht OOB zur Verfügung gestellt, sondern wie auch in diesem Fall tief in vielen anderen Tickets vergraben in einem generellen Release verpackt um nicht zu sagen versteckt. Gründe mögen diverse sein, von Aufmerksamkeit vermeiden bis Eitelkeit Entwickler usw., erschwert die Evaluierung der Tragweite und die Risikoabschätzung für andere Probleme durch das Einspielen immens.

          • Adrian W. sagt:

            Mmmmm, na ja, was soll ich dazu sagen?
            Nochmals zum mitschreiben, wenn der Hersteller Updates zur Verfügung stellt und diese sind tagelang nicht als Changelog verfügbar, wie soll man dann abschätzen können um was es geht?
            Das ein Update welcher als Security-Fix kommuniziert wird, ohne wenn und aber zu installieren ist, drüber müssen wir nicht diskutieren.

            Hier ein konkretes Bsp. dafür: bei Nc 26 gibt es seit letztem Donnerstag, 23.11 einen Update auf die 26.0.9 bis gestern war kein Changelog vorhanden und heute, also 5 Tage danach wird er veröffentlicht, das ist imho einfach eine Kakastrophe und kommt immer wieder vor, desweiteren wurde dieser heute mit dem Datum vom 23. November publiziert, das ist imho auch mehr als unschön.
            Mit anderen Worten sollte man nicht nur immer auf den Admins und Usern "rumhacken", sondern die Hersteller in erster Linie in solchen Dingen in die Pflicht nehmen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.