Categories
News

Update: Achtung – Böse Sicherheitslücke in OwnCloud 4

Wie Christian Dinse auf seinem Blog berichtet, versteckt sich in der Version 4 von OwnCloud, die erst kürzlich erschienen ist, eine Sicherheitslücke, mit der auf Kontakte und Kalendereinträge über einen öffentlich auffindbaren Link zugegriffen werden kann.

Christian erläutert ebenfalls, wie man diese Sicherheitslücke ausnutzen kann und welche Voraussetzungen dafür notwendig sind. Demnach müssen zunächst zwei Bedingungen erfüllt sein:

  1. der Benutzername des OwnCloud Nutzer muss bekannt sein
  2. zudem braucht man den Name des eingerichteten Kalender (in der Regel “default%20calendar” (“default calendar”))

Darüber hinaus muss die URL bekannt sein, unter welcher die OwnCloud Version installiert wurde. Laut Christian bringt eine Google Suche nach bestimmten Begriffen und “… (ein wenig OwnCloud-Kenntnis vorausgesetzt) diverse Installationslinks auf den Schirm.”

Christian bestätigt, dass man anhand des Links “http://OWNCLOUD-INSTALLATION/remote.php/caldav/calendars/BENUTZERNAME/KALENDERNAME” einen direkten Zugriff auf die kompletten Kalendereinträge erhält, ohne dabei das Passwort zu kennen. Das sei jedoch nicht alles. Ein viel höheres Gefahrenpotential sieht er hinter dem Link “http://OWNCLOUD-INSTALLATION/remote.php/carddav/addressbooks/BENUTZERNAME/default”, mit dem man die hinterlegten Kontakte des Nutzers erhalten soll.

Christian liefert ebenfalls eine Workaround als kurzfristige Lösung. Dazu hat er bei sich die “remote.php” entfernt.

Keine schönen Neuigkeiten für OwnCloud, die mit owncloud.org für jedermann die Private Cloud ins eigene Wohnzimmer bringen möchten.

UPDATE

Zwischenzeitlich hat der Entwickler der OwnCloud Kalender App Georg Ehrke via Kommentar auf den Blogpost bei Christian geantwortet und daraufhin gewiesen, dass das Kennwort für den Nutzer im Browser gecached wurde.

Christian konnte den Hinweis von Georg scheinbar nachvollziehen und hat seinen Blogpost als “fehlerhaft” gekennzeichnet. Am Tag des Tests befand er sich demnach in “… unterschiedlichen Netzwerken und nutzte OwnCloud über verschiedene Systeme.” Dabei war eines dieser Systeme Teil einer Entwicklungsumgebung, die an ein Caching-System angebunden war. Ein erneuter Test konnte das von Ihm beschriebene Problem nicht bestätigen. Werden die Links aufgerufen, erscheint eine Benutzer- und Passwort Abfrage.


Bildquelle: http://www.xflo.net

By Rene Buest

Rene Buest is Gartner Analyst covering Infrastructure Services & Digital Operations. Prior to that he was Director of Technology Research at Arago, Senior Analyst and Cloud Practice Lead at Crisp Research, Principal Analyst at New Age Disruption and member of the worldwide Gigaom Research Analyst Network. Rene is considered as top cloud computing analyst in Germany and one of the worldwide top analysts in this area. In addition, he is one of the world’s top cloud computing influencers and belongs to the top 100 cloud computing experts on Twitter and Google+. Since the mid-90s he is focused on the strategic use of information technology in businesses and the IT impact on our society as well as disruptive technologies.

Rene Buest is the author of numerous professional technology articles. He regularly writes for well-known IT publications like Computerwoche, CIO Magazin, LANline as well as Silicon.de and is cited in German and international media – including New York Times, Forbes Magazin, Handelsblatt, Frankfurter Allgemeine Zeitung, Wirtschaftswoche, Computerwoche, CIO, Manager Magazin and Harvard Business Manager. Furthermore Rene Buest is speaker and participant of experts rounds. He is founder of CloudUser.de and writes about cloud computing, IT infrastructure, technologies, management and strategies. He holds a diploma in computer engineering from the Hochschule Bremen (Dipl.-Informatiker (FH)) as well as a M.Sc. in IT-Management and Information Systems from the FHDW Paderborn.

9 replies on “Update: Achtung – Böse Sicherheitslücke in OwnCloud 4”

Leave a Reply