Das ownCloud-Projekt hatte in der vergangenen Woche mehrere Sicherheitslücken in der Open-Source-Kollaborationslösung behoben. Eines der Lecks verrät Angreifern die Admin-Zugangsdaten der ownCloud-Instanz, sofern diese in einer Docker-Umgebung läuft. Auch der Lizenzschlüssel, Mail-Server-Zugangsdaten und weitere sensible Informationen finden unbefugte Dritte in der offen zugänglichen phpInfo()-Datei, die Entwickler eines ownCloud-Plugins offenbar in ihrer Codebasis vergessen hatten. Anzeige Das GraphAPI-Plugin für ownCloud gehört zum Standard-Lieferumfang der offenen Plattform für die Zusammenarbeit in Teams. Das Plugin bietet eine Anbindung von ownCloud an Microsofts Graph API und greift hierfür auf eine von den Redmonder Entwicklern programmierte Bibliothek zurück, die über den PHP-Paketmanager Composer verfügbar ist. Diese Bibliothek enthält im Unterverzeichnis apps/graphapi/vendor/microsoft/microsoft-graph/tests/ verschiedene Unit-Tests, die versehentlich mit den Versionen 0.2.0 und 0.3.0 ausgeliefert wurden. Mit im Verzeichnis liegt auch eine Datei namens GetPhpInfo.php, deren einziger Zweck die Ausgabe der phpinfo()-Funktion ist. Diese in PHP fest eingebaute Funktion gibt Informationen über die installierte PHP-Version, aber auch Module und Umgebungsvariablen des Webservers zurück und ist daher eine Fundgrube für Angreifer. phpinfo() verrät Zugangsdaten Umgebungsvariablen bei der Docker-Installation von ownCloud (Bild: heise Online / C.Kunz) Hat der Administrator ownCloud via Docker installiert, so befinden sich unter den ausgegebenen Umgebungsvariablen auch sensible Informationen, die Angreifern den Zugriff auf die betroffene Instanz ermöglichen können. So empfiehlt der Hersteller in seinen Installationsanweisungen für Docker, die Zugangsdaten für Datenbank, Mailserver und ownCloud selber als Umgebungsvariablen zu hinterlegen, eine häufig genutzte und unter normalen Umständen ungefährliche Praxis. Finden Unbefugte jedoch eine phpinfo-Datei in einem derart per Docker installierten ownCloud-Server, können sie die geheimen Zugangsdaten auslesen und – sofern der Admin diese nicht direkt nach der Installation abgeändert hat – für den Login als ownCloud-Administratoren nutzen. Die Sicherheitslücke CVE-2023-49103 (CVSS 10/10) im GraphAPI-Plugin ist bereits seit September diesen Jahres behoben. Sicherheitsforscher melden Scan-Aktivität Offenbar hat in den letzten Tagen die automatisierte Scan-Aktivität zugenommen: Das ShadowServer-Projekt und die Security-Firma Greynoise beobachten automatisierte Abrufe der URL /owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php. So habe sich die Anzahl verdächtiger IP-Adressen seit dem 27. November auf über 20 erhöht, meldet Greynoise. Wie der Sicherheitsforscher Will Dormann auf der Plattform X (ehemals Twitter) anmerkt, dürften derlei Aufrufe jedoch meist fehlschlagen – der Pfadbestandteil /owncloud/ fehle schlicht in den meisten per Docker installierten ownCloud-Instanzen. Dennoch sollten Admins handeln und ihre ownCloud zunächst auf den neuesten Stand bringen. Die Versionen 0.2.1 und 0.3.1 des GraphAPI-Plugins beheben das Informationsleck. Zudem sollten Systemverwalter die Augen nach Angriffen auf ihre Server offenhalten. Das Internet Storm Center nennt einige verdächtige IP-Adressen, jeder Zugriff auf die offene phpinfo-Datei sollte jedoch Anlass zur Sorge geben. Wer derlei Zugriffe in den ownCloud-Logs feststellt, sollte nach dem Update auch alle relevanten Zugangsdaten ändern. So könnten die Datenbank-, Mailserver- und ownCloud-Passwörter, aber auch S3-Zugriffsschlüssel in die Hände von Angreifern gelangt sein. Zusätzlich zum Informationsleck in CVE-2023-40190 hatten die Entwickler der Kollaborationslösung zwei weitere Sicherheitslücken behoben und Updates bereitgestellt. (cku) Zur Startseite
Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.
Das ownCloud-Projekt hatte in der vergangenen Woche mehrere Sicherheitslücken in der Open-Source-Kollaborationslösung behoben. Eines der Lecks verrät Angreifern die Admin-Zugangsdaten der ownCloud-Instanz, sofern diese in einer Docker-Umgebung läuft. Auch der Lizenzschlüssel, Mail-Server-Zugangsdaten und weitere sensible Informationen finden unbefugte Dritte in der offen zugänglichen phpInfo()-Datei, die Entwickler eines ownCloud-Plugins offenbar in ihrer Codebasis vergessen hatten. Anzeige Das GraphAPI-Plugin für ownCloud gehört zum Standard-Lieferumfang der offenen Plattform für die Zusammenarbeit in Teams. Das Plugin bietet eine Anbindung von ownCloud an Microsofts Graph API und greift hierfür auf eine von den Redmonder Entwicklern programmierte Bibliothek zurück, die über den PHP-Paketmanager Composer verfügbar ist. Diese Bibliothek enthält im Unterverzeichnis apps/graphapi/vendor/microsoft/microsoft-graph/tests/ verschiedene Unit-Tests, die versehentlich mit den Versionen 0.2.0 und 0.3.0 ausgeliefert wurden. Mit im Verzeichnis liegt auch eine Datei namens GetPhpInfo.php, deren einziger Zweck die Ausgabe der phpinfo()-Funktion ist. Diese in PHP fest eingebaute Funktion gibt Informationen über die installierte PHP-Version, aber auch Module und Umgebungsvariablen des Webservers zurück und ist daher eine Fundgrube für Angreifer. phpinfo() verrät Zugangsdaten Umgebungsvariablen bei der Docker-Installation von ownCloud (Bild: heise Online / C.Kunz) Hat der Administrator ownCloud via Docker installiert, so befinden sich unter den ausgegebenen Umgebungsvariablen auch sensible Informationen, die Angreifern den Zugriff auf die betroffene Instanz ermöglichen können. So empfiehlt der Hersteller in seinen Installationsanweisungen für Docker, die Zugangsdaten für Datenbank, Mailserver und ownCloud selber als Umgebungsvariablen zu hinterlegen, eine häufig genutzte und unter normalen Umständen ungefährliche Praxis. Finden Unbefugte jedoch eine phpinfo-Datei in einem derart per Docker installierten ownCloud-Server, können sie die geheimen Zugangsdaten auslesen und – sofern der Admin diese nicht direkt nach der Installation abgeändert hat – für den Login als ownCloud-Administratoren nutzen. Die Sicherheitslücke CVE-2023-49103 (CVSS 10/10) im GraphAPI-Plugin ist bereits seit September diesen Jahres behoben. Sicherheitsforscher melden Scan-Aktivität Offenbar hat in den letzten Tagen die automatisierte Scan-Aktivität zugenommen: Das ShadowServer-Projekt und die Security-Firma Greynoise beobachten automatisierte Abrufe der URL /owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php. So habe sich die Anzahl verdächtiger IP-Adressen seit dem 27. November auf über 20 erhöht, meldet Greynoise. Wie der Sicherheitsforscher Will Dormann auf der Plattform X (ehemals Twitter) anmerkt, dürften derlei Aufrufe jedoch meist fehlschlagen – der Pfadbestandteil /owncloud/ fehle schlicht in den meisten per Docker installierten ownCloud-Instanzen. Dennoch sollten Admins handeln und ihre ownCloud zunächst auf den neuesten Stand bringen. Die Versionen 0.2.1 und 0.3.1 des GraphAPI-Plugins beheben das Informationsleck. Zudem sollten Systemverwalter die Augen nach Angriffen auf ihre Server offenhalten. Das Internet Storm Center nennt einige verdächtige IP-Adressen, jeder Zugriff auf die offene phpinfo-Datei sollte jedoch Anlass zur Sorge geben. Wer derlei Zugriffe in den ownCloud-Logs feststellt, sollte nach dem Update auch alle relevanten Zugangsdaten ändern. So könnten die Datenbank-, Mailserver- und ownCloud-Passwörter, aber auch S3-Zugriffsschlüssel in die Hände von Angreifern gelangt sein. Zusätzlich zum Informationsleck in CVE-2023-40190 hatten die Entwickler der Kollaborationslösung zwei weitere Sicherheitslücken behoben und Updates bereitgestellt. (cku) Zur Startseite