Update: Achtung – Böse Sicherheitslücke in OwnCloud 4

[ 9 ] Mai 25, 2012 |

Wie Christian Dinse auf seinem Blog berichtet, versteckt sich in der Version 4 von OwnCloud, die erst kürzlich erschienen ist, eine Sicherheitslücke, mit der auf Kontakte und Kalendereinträge über einen öffentlich auffindbaren Link zugegriffen werden kann.

Christian erläutert ebenfalls, wie man diese Sicherheitslücke ausnutzen kann und welche Voraussetzungen dafür notwendig sind. Demnach müssen zunächst zwei Bedingungen erfüllt sein:

  1. der Benutzername des OwnCloud Nutzer muss bekannt sein
  2. zudem braucht man den Name des eingerichteten Kalender (in der Regel “default%20calendar” (“default calendar”))

Darüber hinaus muss die URL bekannt sein, unter welcher die OwnCloud Version installiert wurde. Laut Christian bringt eine Google Suche nach bestimmten Begriffen und “… (ein wenig OwnCloud-Kenntnis vorausgesetzt) diverse Installationslinks auf den Schirm.”

Christian bestätigt, dass man anhand des Links “http://OWNCLOUD-INSTALLATION/remote.php/caldav/calendars/BENUTZERNAME/KALENDERNAME” einen direkten Zugriff auf die kompletten Kalendereinträge erhält, ohne dabei das Passwort zu kennen. Das sei jedoch nicht alles. Ein viel höheres Gefahrenpotential sieht er hinter dem Link “http://OWNCLOUD-INSTALLATION/remote.php/carddav/addressbooks/BENUTZERNAME/default”, mit dem man die hinterlegten Kontakte des Nutzers erhalten soll.

Christian liefert ebenfalls eine Workaround als kurzfristige Lösung. Dazu hat er bei sich die “remote.php” entfernt.

Keine schönen Neuigkeiten für OwnCloud, die mit owncloud.org für jedermann die Private Cloud ins eigene Wohnzimmer bringen möchten.

UPDATE

Zwischenzeitlich hat der Entwickler der OwnCloud Kalender App Georg Ehrke via Kommentar auf den Blogpost bei Christian geantwortet und daraufhin gewiesen, dass das Kennwort für den Nutzer im Browser gecached wurde.

Christian konnte den Hinweis von Georg scheinbar nachvollziehen und hat seinen Blogpost als “fehlerhaft” gekennzeichnet. Am Tag des Tests befand er sich demnach in “… unterschiedlichen Netzwerken und nutzte OwnCloud über verschiedene Systeme.” Dabei war eines dieser Systeme Teil einer Entwicklungsumgebung, die an ein Caching-System angebunden war. Ein erneuter Test konnte das von Ihm beschriebene Problem nicht bestätigen. Werden die Links aufgerufen, erscheint eine Benutzer- und Passwort Abfrage.


Bildquelle: http://www.xflo.net

Tags: ,

Category: News

About the Author ()

Rene Buest is Senior Analyst and Cloud Practice Lead at Crisp Research, covering cloud computing, IT infrastructure, open source and Internet of Things. He is member of the worldwide Gigaom Research Analyst Network, top cloud computing blogger in Germany and one of the worldwide top 50 bloggers in this area. In addition, he is one of the world’s top cloud computing influencers and belongs to the top 100 cloud computing experts on Twitter. For more than 16 years he is focused on the strategic use of information technology in businesses and the IT impact on our society as well as disruptive technologies. Rene Buest is the author of numerous professional cloud computing and technology articles, speaker and participant of experts rounds. On CloudUser.de he writes about topics from the fields of cloud computing, it-infrastructures, technologies, management and strategies. He holds a diploma in computer engineering from the Hochschule Bremen (Dipl.-Informatiker (FH)) as well as a M.Sc. in IT-Management and Information Systems from the FHDW Paderborn.

Leave a Reply

You must be logged in to post a comment.