Abo
  • IT-Karriere:

Owncloud/Nextcloud: Passwörter im Bugtracker

Wer bei Owncloud oder Nextcloud einen Bugreport melden möchte, wird nach dem Inhalt seiner Konfigurationsdatei gefragt. Einige Nutzer kamen dem nach - und gaben damit ihre Passwörter öffentlich preis.

Artikel veröffentlicht am , Hanno Böck
Im Bugtracker von Nextcloud und Owncloud haben Nutzer versehentlich Zugangsdaten und Passwörter veröffentlicht.
Im Bugtracker von Nextcloud und Owncloud haben Nutzer versehentlich Zugangsdaten und Passwörter veröffentlicht. (Bild: Nextcloud-Logo/Screenshot)

Im Bugtracker auf Github waren bei Owncloud und Nextcloud zahlreiche vertrauliche Daten öffentlich einsehbar, darunter Datenbank-Zugangsdaten und SMTP-Logins für Mailserver. Der Grund: Wenn man einen Bugreport erstellt, wird man nach dem Inhalt der Konfigurationsdatei gefragt. Zwar gibt es eine Warnung vor genau diesem Szenario, aber die übersehen offenbar manche Nutzer.

Bugformular fragt nach Inhalt der Konfigurationsdatei

Stellenmarkt
  1. Dataport, verschiedene Standorte
  2. Rational AG, Landsberg am Lech

Der Autor dieses Artikels wollte im Januar einen Fehler in der Kalender-App von Nextcloud melden. Beim Erstellen des Bugreports erscheint ein langes Template, das diverse Informationen über die Installation abfragt. Das ist soweit legitim, denn es hilft in vielen Fällen sicher, Fehler besser einzuschätzen und nachvollziehen zu können. Doch das Template fragt auch nach dem Inhalt der Konfigurationsdatei ("The content of config/config.php").

Es wird erwähnt, dass es auch eine sichere Variante gibt, die Variablen aus der Configdatei mittels eines Kommandozeilentools auszulesen. Allerdings dürften gerade unbedarfte Nutzer Probleme mit der Kommandozeile haben. Und bei Shared-Hosting-Anbietern ist es oft überhaupt nicht möglich, Kommandozeilenbefehle auszuführen. Das Template enthielt auch eine Warnung und bat darum, dass Passwörter und andere vertrauliche Daten entfernt werden sollten. Doch einige Nutzer hatten offenbar nicht bis dahin gelesen oder die Warnung ignoriert.

Alle Bugreports auf Github sind öffentlich einsehbar. Da die URL einem einfachen Schema folgt und die Bugreports schlicht durchnummeriert sind, ist es einfach möglich, alle Bugreports eines Projekts herunterzuladen. Eine kurze Stichprobe ergab, dass tatsächlich Nutzer in den Bugreports ihre Passwörter preisgaben. Besonders kritisch sind dabei Passwörter für SMTP-Zugänge zu Mailservern - die könnten von Kriminellen direkt genutzt werden, um Spam zu verschicken.

Identisches Problem bei Owncloud und Nextcloud

Nextcloud ist ein Fork der Software Owncloud und nutzte exakt dasselbe Bugreporting-Template. Auch dort fanden sich zahlreiche Passwörter im Bugtracker. Sowohl Owncloud als auch Nextcloud wurden via Hackerone über das Problem informiert.

Die Reaktion war äußerst schleppend. Nextcloud bestätigte den Bug und kündigte an, eventuell die entsprechenden Konfigurationsoptionen über das Webinterface verfügbar zu machen. Owncloud reagierte zunächst überhaupt nicht. Auf der FOSDEM-Konferenz Anfang Februar wies der Autor dieses Textes beide Projekte erneut auf das Problem hin.

  • So bittet Owncloud seine Nutzer um den Inhalt von Konfigurationsdateien. (Hanno Böck/Golem.de)
  • Nextcloud hat den Text inzwischen geändert, fragt aber weiterhin nach<br>der Konfigurationsdatei. (Hanno Böck/Golem.de)
  • So sahen viele Bugreports aus - samt Datenbank- und SMTP-Passwort. (Hanno Böck/Golem.de)
So bittet Owncloud seine Nutzer um den Inhalt von Konfigurationsdateien. (Hanno Böck/Golem.de)

Mehrere Wochen vergingen, in denen es keine weiteren Reaktionen gab. Erst ein Tweet Anfang April, der einige Aufmerksamkeit erhielt, sorgte für Bewegung. Nextcloud hatte zu diesem Zeitpunkt bereits Passwörter aus existierenden Bugreports entfernt und ein neues Template für Bugreports entworfen. Owncloud bat um eine Verschiebung der Deadline um eine Woche.

Inzwischen sind, soweit wir das prüfen konnten, alle echt aussehenden Passwörter aus den Bugtrackern entfernt. Bei einigen Fällen bleibt unklar, ob es sich um schlechte Passwörter handelt oder um Werte, die Nutzer dort manuell als Ersatz eingetragen haben.

Das neue Reporting-Template bei Nextcloud fragt weiterhin nach der Konfigurationsdatei, die Warnung folgt jetzt aber direkt danach. Außerdem wird die Möglichkeit über das Kommandozeilentool als Erstes erwähnt. Ganz unproblematisch wirkt das nach wie vor nicht. Owncloud hat bisher an seinem Bugreporting-Template nichts geändert.

Im Zweifelsfall Passwort besser ändern

Nutzer, die in der Vergangenheit Bugs an eines der beiden Projekte gemeldet haben und sich nicht sicher sind, ob sie dabei möglicherweise Passwörter preisgegeben haben, sollten diese wohl vorsorglich ändern. Auch wenn die Passwörter jetzt entfernt sind: Sie könnten weiterhin über Suchmaschinencaches abrufbar sein. Zudem ist es möglich, dass die Passwörter auch anderen Personen aufgefallen sind und sich bereits im Besitz von Kriminellen befinden.



Anzeige
Hardware-Angebote

Potrimpo 20. Apr 2017

NextCloud ist auch OpenSource

eiGudeWie 20. Apr 2017

Vielen Dank für die Links! Aber man sollte noch dazu sagen, dass es ein mysqlnd Problem...

hannob (golem.de) 19. Apr 2017

Nein. Es geht um Passwörter für die Datenbank und für Mailserver. Die liegen in der...

bob2020 19. Apr 2017

Spannender Artikel. Habe danach den Bugreport auf [1] gelesen und finde, der Autor hat...


Folgen Sie uns
       


Asrock DeskMini A300 - Test

Der DeskMini A300 von Asrock ist ein Mini-PC mit weniger als zwei Litern Volumen. Der kleine Rechner basiert auf einer Platine mit Sockel AM4 und eignet sich daher für Raven-Ridge-Chips wie den Athlon 200GE oder den Ryzen 5 2400G.

Asrock DeskMini A300 - Test Video aufrufen
Kontist, N26, Holvi: Neue Banking-Apps machen gute Angebote für Freelancer
Kontist, N26, Holvi
Neue Banking-Apps machen gute Angebote für Freelancer

Ein mobiles und dazu noch kostenloses Geschäftskonto für Freiberufler versprechen Startups wie Kontist, N26 oder Holvi. Doch sind die Newcomer eine Alternative zu den Freelancer-Konten der großen Filialbanken? Ja, sind sie - mit einer kleinen Einschränkung.
Von Björn König


    Lightyear One: Luxus-Elektroauto fährt auch mit Solarstrom
    Lightyear One
    Luxus-Elektroauto fährt auch mit Solarstrom

    Ein niederländisches Jungunternehmen hat ein ungewöhnliches Fahrzeug entwickelt, das Luxus und Umweltfreundlichkeit kombiniert. Solarzellen auf dem Dach erhöhen die Reichweite um bis zu 220 Kilometer.
    Von Wolfgang Kempkens

    1. EZ-Pod Renault-Miniauto soll Stadtverkehr in Kolonne fahren
    2. Elektromobilität EnBW will weitere 2.000 Schnellladepunkte errichten
    3. Elektromobilität Verkehrsminister will Elektroautos länger und mehr fördern

    Zulassung autonomer Autos: Der Mensch fährt besser als gedacht
    Zulassung autonomer Autos
    Der Mensch fährt besser als gedacht

    Mehrere Jahre haben Wissenschaftler und Autokonzerne an Testverfahren für einen Autobahnpiloten geforscht. Die Ergebnisse sprechen für den umfangreichen Einsatz von Simulation. Und gegen den schnellen Einsatz der Technik.
    Von Friedhelm Greis

    1. Einride T-Pod Autonomer Lkw fährt in Schweden Waren aus
    2. Ingolstadt Audi vernetzt Autos mit Ampeln
    3. Wasserkühlung erforderlich Leistungshunger von Auto-Rechnern soll stark steigen

      •  /