{"id":11593,"date":"2025-02-06T17:45:38","date_gmt":"2025-02-06T17:45:38","guid":{"rendered":"https:\/\/byte-bucket.com\/2025\/02\/06\/nextcloud-unter-der-lupe-bsi-entdeckt-kritische-sicherheitsluecken\/"},"modified":"2025-02-06T17:45:38","modified_gmt":"2025-02-06T17:45:38","slug":"nextcloud-unter-der-lupe-bsi-entdeckt-kritische-sicherheitsluecken","status":"publish","type":"post","link":"https:\/\/byte-bucket.com\/?p=11593","title":{"rendered":"Nextcloud unter der Lupe: BSI entdeckt kritische Sicherheitsl\u00fccken"},"content":{"rendered":"

Sicherheitsl\u00fccken in Nextcloud aufgedeckt: BSI analysiert Schwachstellen<\/p>\n

Im Rahmen des Projekts CAOS 3.0, das vom Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) initiiert wurde und sich mit der Codeanalyse von Open-Source-Software besch\u00e4ftigt, untersuchte das M\u00fcnchner Unternehmen MGM Security Partners die Serveranwendung Nextcloud auf potenzielle Sicherheitsrisiken. Die Analyse, die im Auftrag des BSI durchgef\u00fchrt wurde, ergab 16 Schwachstellen mit hohem Gefahrenpotenzial in Nextcloud selbst sowie in vier offiziellen Plugins f\u00fcr die Zwei-Faktor-Authentifizierung (2FA).<\/p>\n

Der Fokus lag dabei nicht nur auf der Kernanwendung, sondern auch auf wichtigen Zusatzfunktionen wie dem Client f\u00fcr Desktop und Smartphone. Drittanbieter-Erweiterungen wurden jedoch im Fr\u00fchjahr 2023 nicht untersucht. Insgesamt wurden 43 Schwachstellen mit einer CVE-ID identifiziert. W\u00e4hrend die Entwickler von Nextcloud viele dieser L\u00fccken bereits behoben haben, erwies sich der Bericht als eindringliches Beispiel f\u00fcr die kontinuierliche Notwendigkeit von Sicherheits\u00fcberpr\u00fcfungen in Open-Source-Software.<\/p>\n

Einige der aufgedeckten Schwachstellen sind besonders kritisch:<\/p>\n

– Zwei-Faktor-Authentifizierung (2FA) anf\u00e4llig: Fehlende Authentifizierungsmechanismen beim Austausch von Dateien zwischen Nextcloud-Instanzen erm\u00f6glichten es Angreifern, sich als beliebiger Nutzer auszugeben und b\u00f6sartige Dateien zu versenden. Nutzer mussten zwar die Datei\u00fcbernahme best\u00e4tigen, jedoch fehlte die \u00dcberpr\u00fcfung des Absenders durch die empfangende Instanz.<\/p>\n

– Klartext-Passw\u00f6rter im Speicher: W\u00e4hrend der Sitzung wurden Passw\u00f6rter im Klartext gespeichert. Dies erm\u00f6glichte Angreifern, durch Ausnutzung anderer Schwachstellen, beispielsweise Cross-Site-Scripting, auf diese sensiblen Daten zuzugreifen.<\/p>\n

– Unverbindliche Authentifizierung bei externen Speichern: Die Integration externer Speicher in Nextcloud funktionierte ohne erneute Eingabe von Benutzername und Passwort. Dies erm\u00f6glichte Angreifern mit Zugriff auf ein Nextcloud-Konto, externe Speicher einzurichten und die dort \u00fcbertragenen Zugangsdaten auszulesen.<\/p>\n

Das CAOS-Projekt unterstreicht die Bedeutung der kontinuierlichen Sicherheits\u00fcberpr\u00fcfung von Open-Source-Software wie Nextcloud. Durch die fr\u00fchzeitige Identifizierung und Behebung von Schwachstellen tr\u00e4gt das Projekt zur sicheren Entwicklung dieser Software bei und sch\u00fctzt Nutzer vor potenziellen Angriffen.<\/p>\n

Als Teil dieses Projekts wurden bereits Passwortmanager (KeePass, Vaultwarden) sowie dezentrale Dienste (Mastodon, Matrix) analysiert, um das Sicherheitsniveau der Open-Source-Landschaft kontinuierlich zu verbessern.<\/p>\n

Schlagw\u00f6rter: Nextcloud + BSI + CAOS<\/p>\n","protected":false},"excerpt":{"rendered":"

Sicherheitsl\u00fccken in Nextcloud aufgedeckt: BSI analysiert Schwachstellen Im Rahmen des Projekts CAOS 3.0, das vom Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) initiiert wurde und sich mit der Codeanalyse von Open-Source-Software besch\u00e4ftigt, untersuchte das M\u00fcnchner Unternehmen MGM Security Partners die Serveranwendung Nextcloud auf potenzielle Sicherheitsrisiken. Die Analyse, die im Auftrag...<\/p>\n","protected":false},"author":4,"featured_media":11592,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-11593","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/11593","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=11593"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/11593\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/11592"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=11593"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=11593"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=11593"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}