Schwachstellen in Nextcloud-Apps bedrohen Unternehmenssicherheit
Oh oh, da gibt es wohl ein paar Schwachstellen in einigen Nextcloud-Apps, die für Unternehmen zu einem Sicherheitsrisiko werden könnten. Das ist natürlich nichts, worüber man sich freut. Sicherheitsforscher haben diese Lücken entdeckt und warnen davor, dass sie ernsthafte Konsequenzen haben könnten.
Besonders kritisch ist ein Fehler in der Passwortüberprüfung der App „Global Site Selector“, die in größeren Nextcloud-Installationen zur Lastverteilung verwendet wird. Diese Schwachstelle ermöglicht es Angreifern, sich als ein anderer Nutzer anzumelden, wenn sie Zugriff auf ein beliebiges Nutzerkonto auf dem betroffenen System haben. Das ist natürlich alles andere als ideal. Die Entwickler haben die Schwachstelle in den Versionen 1.4.1, 2.1.2, 2.3.4 und 2.4.5 der App behoben. Also, wer diese App nutzt, sollte schnellstmöglich auf die aktualisierten Versionen umsteigen, um sich zu schützen.
Aber das ist noch nicht alles! Es gibt auch zwei mittelschwere Schwachstellen in der App „Guests“. Hier konnten Nutzer die Liste erlaubter Anwendungen einfach zurücksetzen und Gäste konnten diese Liste komplett umgehen. Das ist natürlich nicht unbedingt das, was man sich von einer Sicherheitslücke wünscht. Die Entwickler haben die Fehler in den Versionen 2.4.1, 2.5.1 und 3.0.1 der App behoben.
Selbst Administratoren, die die App „Files ZIP“ verwenden, müssen mit mittelschweren Folgen rechnen, wenn sie nicht auf die behobenen Versionen 1.2.1, 1.4.1 oder 1.5.0 aktualisieren können. Durch eine Schwachstelle in dieser App ist es böswilligen Nutzern möglich, Dateien zu einer ZIP-Datei zusammenzufassen und herunterzuladen, obwohl diese eigentlich nur für die Ansicht, nicht aber zum Download freigegeben waren. Das kann natürlich zu unerwünschten Datenlecks führen.
Auch in den Schnittstellen zur Integration von Nextcloud mit externen Authentifizierungs- und Autorisierungssystemen wurden Sicherheitslücken niedrigen Schweregrades entdeckt. Das betrifft die App „User SAML“ und die grundlegende OAuth2-Funktionalität des Nextcloud-Servers. In der App „User SAML“ können Angreifer einen offenen Redirect nutzen, um Benutzer auf eine externe Seite umzuleiten. Das ist nicht gerade das, was man sich von einer sicheren Plattform wünscht. Die Entwickler haben dies in den Versionen 5.1.5, 5.2.5 und 6.0.1 der App behoben. Zudem waren im Server OAuth2-Autorisierungscodes unbegrenzt gültig, was natürlich auch nicht ideal ist. Durch ein Update auf die Nextcloud (Enterprise) Server Version 28.0.0 beträgt die Gültigkeitsdauer der Codes nun 10 Minuten, was die Schwachstelle behebt.
Trotz dieser Schwachstellen sollte man nicht vergessen, dass Nextcloud normalerweise eine stabile Plattform ist und die Aktualisierungen in der Regel problemlos verlaufen. Aber wie bei jedem System kann es ab und zu noch unerwartete Überraschungen geben. Die Entwickler sind jedoch bemüht, solche Probleme schnell zu beheben und die Sicherheit der Plattform zu gewährleisten. In diesem Fall wurde Nextcloud vor kurzem auf die Version Nextcloud Hub 7 aktualisiert, was hoffentlich weitere Verbesserungen und Sicherheitsupdates mit sich bringt. Es ist also wichtig, immer auf dem neuesten Stand zu bleiben und die empfohlenen Updates durchzuführen, um sich vor möglichen Schwachstellen zu schützen.
Schlagwörter: CVSS + Nextcloud + App
Wie bewerten Sie den Schreibstil des Artikels?