Die Woche gab es Sicherheitsmeldungen über gravierenden Schwachstellen in der Open Source-Software ownCloud und NextCloud, die in Container-Umgebungen den Klau von Anmeldedaten und mehr ermöglichen. Zum 21. Nov. 2023 gab es diese ownCloud-Sicherheitswarnung sowie diese Sicherheitswarnung zu Schwachstellen. NextCloud hat diese Sicherheitswarnung herausgegeben. Artikel zu den Schwachstellen finden sich bei heise und Bleeping Computer.
Translate
Suchen
Blogs auf Borncity
Spenden und Sponsoren
Den Blog durch Spenden unterstützen.
Aus dem DNV-Netzwerk
- Acer RX 9060 XT: BIOS-Update für 8-GB-Grafikkarte aufgetaucht News 18. März 2026
- Logitech G RS H-Shifter: Premium-Schaltknüppel für Sim-Racer News 18. März 2026
- NVIDIA DLSS 3: Unsichtbares Update verdoppelt Leistung für RTX 40-Grafikkarten News 18. März 2026
- NVIDIA definiert mit KI-Chip und DLSS 5 die Zukunft des PC News 18. März 2026
- ZEW-Konjunkturerwartung stürzt ab – Deutschlands KI-Ambitionen in Gefahr News 17. März 2026
Links
Amazon
Awards
MVP: 2013 – 2016
WIMVP: 2017 – 20202015
Blogroll
Soziale Netzwerke-Seiten
Foren
Um mir den Moderationsaufwand zu ersparen, empfehle ich eines der unter Websites verlinkten Angebote. Im Microsoft Answers-Forum bin ich gelegentlich noch als Moderator zu Windows-Themen unterwegs.
Neueste Kommentare
- DocROFL bei Gerücht: Microsoft will KI-Bloatware (Copilot) sparsamer in Windows 11 einsetzen
- Ottilius bei Sicherheitsmeldungen: Fake VPN-Clients; Fake Claud Code-Seiten, Opfer der Oracle EBS Hacks und mehr
- JanM bei MC1247893: Phishing-resistente Windows-Anmeldung durch Microsoft Entra-Passkeys (Preview verfügbar)
- R.S. bei Sicherheitsmeldungen: Fake VPN-Clients; Fake Claud Code-Seiten, Opfer der Oracle EBS Hacks und mehr
- Luzifer bei Sicherheitsmeldungen: Fake VPN-Clients; Fake Claud Code-Seiten, Opfer der Oracle EBS Hacks und mehr
- Red++ bei Outlook-Umlaute-Problem wohl durch Microsoft im März 2026 behoben
- Red++ bei Sicherheitsmeldungen: Fake VPN-Clients; Fake Claud Code-Seiten, Opfer der Oracle EBS Hacks und mehr
- Froschkönig bei Gerücht: Microsoft will KI-Bloatware (Copilot) sparsamer in Windows 11 einsetzen
- Günter Born bei Erinnerung: Im April 2026 endet die Unterstützung für Windows Deployment Service (WDS)
- roland krause bei Buhl Data Service GmbH: Massive Qualitätsprobleme bei Produkten?
- Hansi bei Diskussion
- M.W. bei Erinnerung: Im April 2026 endet die Unterstützung für Windows Deployment Service (WDS)
- Franz bei MC1247893: Phishing-resistente Windows-Anmeldung durch Microsoft Entra-Passkeys (Preview verfügbar)
- R.S. bei Sicherheitsmeldungen: Fake VPN-Clients; Fake Claud Code-Seiten, Opfer der Oracle EBS Hacks und mehr
- Bolko bei Samsung Galaxy S22: Feb. 2026-Update zwingt manche Geräte in Boot-Schleife
Zur Info: Es sind nur vergleichsweise alte Versionen z.B. Nextcloud vom Juni betroffen…
Will ich wissen, wie viele Instanzen da draußen nicht up2date sind? Aber ja, Recht hast Du. Juni ist in dieser schnelllebigen Zeit lange, lange her.
Das ist doch das Problem der jeweiligen Betreiber. Die Pflege ist kinderleicht. Der Test via scan.nextcloud.com ebenfalls.
Mich hat der Bericht zum jetzigen Zeitpunkt auch verwundert.
Nachsehen ergab, daß das vor etwa einem Monat eingespielte Update (das System selbst benachrichtigt, wen es eine neue Version gibt) weiterhin aktuell ist.
Vermutlich ergibt sich die Pressemitteilung aus der Timline für "reasonable disclosure", wobei zwischen Verfügbarkeit des Updates und Offenlegung der Schwachstelle eine gewisse Zeit vergehen muß.
Also da muss ich aber hier einen Hoster den wir für Nextcloud verwenden wirklich loben. Ich war die Woche so voll, dass ich mir keine IT-News angeschaut habe. Im Postfach bekamm ich eine E-Mail, die mich auf das Sicherheitsproblem hingewiesen hatte. Nur als Off Topic
Hast Du tatsächlich eine verwundbare Version betrieben, für die es schon seit Monaten ein Update gab, oder war es nur eine Standard E-Mail?
Nein wir hatten Version 27.1.3
Bezüglich dem Sicherheitsupdate auf 27.1.4 hatte ich die Info vom Hoster bekommen.
Ein kurzer Blick über die von mir verwalteten Instanzen ergab: erstens gibt es hier keine Container, sondern virtuelle Maschinen. Zweitens sind alle Instanzen auf dem aktuellen Stand. Da kann ich mich ja entspannt zurücklehnen.
Also nur outdated Versionen … Fehler eindeutig beim User!
Wer solche Systeme betreibt und nicht up2date hält sollte lebenslang gesperrt fürs Netz werden.
Das sind Admin Grundregeln.
Dann müsstest Du zunächst den Betrieb von mehreren Millionen Wintendo-Servern in Rechenzentren ungeschützt am öffentlichen Netz verbieten, die von irgendwelchen Kids betrieben werden, die unbedingt einen Minecraft-, Ark Survival oder sonstigen Gameserver meinen brauchen zu müssen.
Mhm, ich würde mich eher auf professionelle Unternehmen fixieren.
Habel mal bei 'nem Consultant gewerkelt, der es den Mitarbeitern ausdrücklich *verboten* hat, die Systeme der Kunden aktuell zu halten.
Begründung:
– Mögliche Inkompabilität zu eingesetzten Produkten (SAGE … Grützenware, selten so einen Müll gesehen)
– Mögliche ausbleibende Aufträge der Kunden durch gepatchte, bekannte Fehler (unverzeihlich!)
Nicht mal fehlerbehaftete Treiber durften ausgetauscht werden (bekannt für Fehler unter Hyper-V und Clustering… fehlerbereinigte Treiber durften nicht eingespielt werden).
Die Geschichte mit "Mein Schiff" – die ja auch gehackselt wurden… war ebenfalls Kunde des Unternehmens, bei dem ich werkelte.
Vorteil bei denen: (Fast) Zero-Trust, Produktiv-Umgebung ist geklont (für Vorab-Tests), Zugriff erfolgt nur via Freigabe durch Administrator (Anmeldung vorab).
Nachteil: Keinerlei Prüfung der Gegenseite. Fire and Forget.
Laß die Kids mit ihren Minecraft-Server zocken, ein RZ sollte es bemerken, wenn da eine Instanz Teil eines Botnetzes wird.
Die Unternehmen sind um Welten schlimmer…
Also ich verstehe ehrlich gesagt "Eure" Sprüche bzgl. alten Versionen, nicht up to date, nur outdated Versionen und "…verwundbare Version betrieben, für die es schon seit Monaten ein Update gab", usw. nicht so ganz,
denn die gepachten Versionen z. B. der NC 25.x, 26.x und 27.x sind alle vom 26. Oktober 2023.
Da denke ich, bleibt lieber auf Teppich mit solchen Sprüchen, ist erst 1 Monat :-)
Was mir viel mehr du denken gibt, ist die immer wiederkehrende, miserable Aktualisierung der Changlogs auf der NC-Webseite, bestes bsp. dazu wieder die seit Tagen vorhandene 26.0.9, da gibts noch immer keinen off. Changelog auf der Webseite.
Wir haben fast Dezember! Sicherheitslücken ist ein Monat schon grob fahrlässig.
System Updates ist Admin Grundregel, wer das vernachlässigt ist im falschen Job! Erst recht bei Soft/Hardware die dazu bestimmt ist im Netz zu hängen.
Würde hier der ITler nicht mal die Grundregeln berücksichtigen dürfte er seine Papiere holen!
/edit/
aber sieht man ja an den täglichen News, wo Firmen wieder mal gehackt wurden und Daten verloren haben… Fachpersonal ist eben schwer zu kriegen.
Zumal man den Prozess auch wunderbar automatisieren kann…
Null Verständnis für nachlässige Administratoren, die nicht up-to-date sind.
Grundsätzlich im Pinzip schon korrekt, nur gehört imho des weiteren zu den Grundregeln, dass man zuerst die Changelogs liest (und versteht) und erst danach die Updates einspielt, somit ist der weiter erwähnte Punkt "….Zumal man den Prozess auch wunderbar automatisieren kann…" auch mehr als fragwürdig, ausser das durchlesen (und verstehen) ist auch automatisiert :-)
Mit anderen Worten, ist daher zuerst mal in erster Linie der Hersteller dafür verantwortlich, dass aktuelle Changelogs vorhanden sind und in dieser Displizin ist Nextcloud eine Katastrophe.
SICHERHEITSAKTUALISIERUNGEN mußt Du nicht vorab "lesen und verstehen".
Kern-Komponenten sind kompromittiert und müssen aktualisiert werden. Grundschulwissen.
Wer sich hier an Automatisierung aufhängt, sollte seine Position in öffentlich erreichbarer IT durchaus selber in Frage stellen.
Andererseits, wenn man sich so die alltäglichen, erfolgreichen Cyber-Angriffe in Deutschland anschaut, überrascht mich nichts mehr.
Oft werden Sicherheitsupdates nicht OOB zur Verfügung gestellt, sondern wie auch in diesem Fall tief in vielen anderen Tickets vergraben in einem generellen Release verpackt um nicht zu sagen versteckt. Gründe mögen diverse sein, von Aufmerksamkeit vermeiden bis Eitelkeit Entwickler usw., erschwert die Evaluierung der Tragweite und die Risikoabschätzung für andere Probleme durch das Einspielen immens.
Mmmmm, na ja, was soll ich dazu sagen?
Nochmals zum mitschreiben, wenn der Hersteller Updates zur Verfügung stellt und diese sind tagelang nicht als Changelog verfügbar, wie soll man dann abschätzen können um was es geht?
Das ein Update welcher als Security-Fix kommuniziert wird, ohne wenn und aber zu installieren ist, drüber müssen wir nicht diskutieren.
Hier ein konkretes Bsp. dafür: bei Nc 26 gibt es seit letztem Donnerstag, 23.11 einen Update auf die 26.0.9 bis gestern war kein Changelog vorhanden und heute, also 5 Tage danach wird er veröffentlicht, das ist imho einfach eine Kakastrophe und kommt immer wieder vor, desweiteren wurde dieser heute mit dem Datum vom 23. November publiziert, das ist imho auch mehr als unschön.
Mit anderen Worten sollte man nicht nur immer auf den Admins und Usern "rumhacken", sondern die Hersteller in erster Linie in solchen Dingen in die Pflicht nehmen!