Wie Christian Dinse auf seinem Blog berichtet, versteckt sich in der Version 4 von OwnCloud, die erst kürzlich erschienen ist, eine Sicherheitslücke, mit der auf Kontakte und Kalendereinträge über einen öffentlich auffindbaren Link zugegriffen werden kann.
Christian erläutert ebenfalls, wie man diese Sicherheitslücke ausnutzen kann und welche Voraussetzungen dafür notwendig sind. Demnach müssen zunächst zwei Bedingungen erfüllt sein:
- der Benutzername des OwnCloud Nutzer muss bekannt sein
- zudem braucht man den Name des eingerichteten Kalender (in der Regel “default%20calendar” (“default calendar”))
Darüber hinaus muss die URL bekannt sein, unter welcher die OwnCloud Version installiert wurde. Laut Christian bringt eine Google Suche nach bestimmten Begriffen und “… (ein wenig OwnCloud-Kenntnis vorausgesetzt) diverse Installationslinks auf den Schirm.”
Christian bestätigt, dass man anhand des Links “http://OWNCLOUD-INSTALLATION/remote.php/caldav/calendars/BENUTZERNAME/KALENDERNAME” einen direkten Zugriff auf die kompletten Kalendereinträge erhält, ohne dabei das Passwort zu kennen. Das sei jedoch nicht alles. Ein viel höheres Gefahrenpotential sieht er hinter dem Link “http://OWNCLOUD-INSTALLATION/remote.php/carddav/addressbooks/BENUTZERNAME/default”, mit dem man die hinterlegten Kontakte des Nutzers erhalten soll.
Christian liefert ebenfalls eine Workaround als kurzfristige Lösung. Dazu hat er bei sich die “remote.php” entfernt.
Keine schönen Neuigkeiten für OwnCloud, die mit owncloud.org für jedermann die Private Cloud ins eigene Wohnzimmer bringen möchten.
UPDATE
Zwischenzeitlich hat der Entwickler der OwnCloud Kalender App Georg Ehrke via Kommentar auf den Blogpost bei Christian geantwortet und daraufhin gewiesen, dass das Kennwort für den Nutzer im Browser gecached wurde.
Christian konnte den Hinweis von Georg scheinbar nachvollziehen und hat seinen Blogpost als “fehlerhaft” gekennzeichnet. Am Tag des Tests befand er sich demnach in “… unterschiedlichen Netzwerken und nutzte OwnCloud über verschiedene Systeme.” Dabei war eines dieser Systeme Teil einer Entwicklungsumgebung, die an ein Caching-System angebunden war. Ein erneuter Test konnte das von Ihm beschriebene Problem nicht bestätigen. Werden die Links aufgerufen, erscheint eine Benutzer- und Passwort Abfrage.
Bildquelle: http://www.xflo.net
9 replies on “Update: Achtung – Böse Sicherheitslücke in OwnCloud 4”
Achtung: Böse Sicherheitslücke in OwnCloud 4 – http://t.co/fAcJNlqZ
Achtung: Böse Sicherheitslücke in OwnCloud 4 http://t.co/YOqggEXm
#Achtung: Böse #Sicherheitslücke in #OwnCloud 4 – http://t.co/xROtTcW9 #Cloud #CloudComputing #HybridCloud #PrivateCloud
Achtung: Böse Sicherheitslücke in OwnCloud 4: Wie Christian Dinse auf seinem Blog berichtet, versteckt sich in d… http://t.co/N33VNTsk
Update: Achtung – Böse Sicherheitslücke in OwnCloud 4 – http://t.co/fAcJNlqZ
Update: #Achtung – Böse #Sicherheitslücke in #OwnCloud 4 – http://t.co/xROtTcW9 #Cloud #CloudComputing
Update: Achtung – Böse Sicherheitslücke in OwnCloud 4 http://t.co/YOqggEXm
clouduser.de : Update: Achtung – Böse Sicherheitslücke in OwnCloud 4: Wie Christian Dinse auf seinem Blog… http://t.co/lGVWWlI7 #Cloud
RT @Wyse_DACH: Update: Achtung – Böse Sicherheitslücke in OwnCloud 4 http://t.co/YOqggEXm