Abo
  • Services:

Owncloud/Nextcloud: Passwörter im Bugtracker

Wer bei Owncloud oder Nextcloud einen Bugreport melden möchte, wird nach dem Inhalt seiner Konfigurationsdatei gefragt. Einige Nutzer kamen dem nach - und gaben damit ihre Passwörter öffentlich preis.

Artikel veröffentlicht am , Hanno Böck
Im Bugtracker von Nextcloud und Owncloud haben Nutzer versehentlich Zugangsdaten und Passwörter veröffentlicht.
Im Bugtracker von Nextcloud und Owncloud haben Nutzer versehentlich Zugangsdaten und Passwörter veröffentlicht. (Bild: Nextcloud-Logo/Screenshot)

Im Bugtracker auf Github waren bei Owncloud und Nextcloud zahlreiche vertrauliche Daten öffentlich einsehbar, darunter Datenbank-Zugangsdaten und SMTP-Logins für Mailserver. Der Grund: Wenn man einen Bugreport erstellt, wird man nach dem Inhalt der Konfigurationsdatei gefragt. Zwar gibt es eine Warnung vor genau diesem Szenario, aber die übersehen offenbar manche Nutzer.

Bugformular fragt nach Inhalt der Konfigurationsdatei

Stellenmarkt
  1. Allianz Private Krankenversicherungs-AG, München
  2. Robert Bosch GmbH, Waiblingen

Der Autor dieses Artikels wollte im Januar einen Fehler in der Kalender-App von Nextcloud melden. Beim Erstellen des Bugreports erscheint ein langes Template, das diverse Informationen über die Installation abfragt. Das ist soweit legitim, denn es hilft in vielen Fällen sicher, Fehler besser einzuschätzen und nachvollziehen zu können. Doch das Template fragt auch nach dem Inhalt der Konfigurationsdatei ("The content of config/config.php").

Es wird erwähnt, dass es auch eine sichere Variante gibt, die Variablen aus der Configdatei mittels eines Kommandozeilentools auszulesen. Allerdings dürften gerade unbedarfte Nutzer Probleme mit der Kommandozeile haben. Und bei Shared-Hosting-Anbietern ist es oft überhaupt nicht möglich, Kommandozeilenbefehle auszuführen. Das Template enthielt auch eine Warnung und bat darum, dass Passwörter und andere vertrauliche Daten entfernt werden sollten. Doch einige Nutzer hatten offenbar nicht bis dahin gelesen oder die Warnung ignoriert.

Alle Bugreports auf Github sind öffentlich einsehbar. Da die URL einem einfachen Schema folgt und die Bugreports schlicht durchnummeriert sind, ist es einfach möglich, alle Bugreports eines Projekts herunterzuladen. Eine kurze Stichprobe ergab, dass tatsächlich Nutzer in den Bugreports ihre Passwörter preisgaben. Besonders kritisch sind dabei Passwörter für SMTP-Zugänge zu Mailservern - die könnten von Kriminellen direkt genutzt werden, um Spam zu verschicken.

Identisches Problem bei Owncloud und Nextcloud

Nextcloud ist ein Fork der Software Owncloud und nutzte exakt dasselbe Bugreporting-Template. Auch dort fanden sich zahlreiche Passwörter im Bugtracker. Sowohl Owncloud als auch Nextcloud wurden via Hackerone über das Problem informiert.

Die Reaktion war äußerst schleppend. Nextcloud bestätigte den Bug und kündigte an, eventuell die entsprechenden Konfigurationsoptionen über das Webinterface verfügbar zu machen. Owncloud reagierte zunächst überhaupt nicht. Auf der FOSDEM-Konferenz Anfang Februar wies der Autor dieses Textes beide Projekte erneut auf das Problem hin.

  • So bittet Owncloud seine Nutzer um den Inhalt von Konfigurationsdateien. (Hanno Böck/Golem.de)
  • Nextcloud hat den Text inzwischen geändert, fragt aber weiterhin nach<br>der Konfigurationsdatei. (Hanno Böck/Golem.de)
  • So sahen viele Bugreports aus - samt Datenbank- und SMTP-Passwort. (Hanno Böck/Golem.de)
So bittet Owncloud seine Nutzer um den Inhalt von Konfigurationsdateien. (Hanno Böck/Golem.de)

Mehrere Wochen vergingen, in denen es keine weiteren Reaktionen gab. Erst ein Tweet Anfang April, der einige Aufmerksamkeit erhielt, sorgte für Bewegung. Nextcloud hatte zu diesem Zeitpunkt bereits Passwörter aus existierenden Bugreports entfernt und ein neues Template für Bugreports entworfen. Owncloud bat um eine Verschiebung der Deadline um eine Woche.

Inzwischen sind, soweit wir das prüfen konnten, alle echt aussehenden Passwörter aus den Bugtrackern entfernt. Bei einigen Fällen bleibt unklar, ob es sich um schlechte Passwörter handelt oder um Werte, die Nutzer dort manuell als Ersatz eingetragen haben.

Das neue Reporting-Template bei Nextcloud fragt weiterhin nach der Konfigurationsdatei, die Warnung folgt jetzt aber direkt danach. Außerdem wird die Möglichkeit über das Kommandozeilentool als Erstes erwähnt. Ganz unproblematisch wirkt das nach wie vor nicht. Owncloud hat bisher an seinem Bugreporting-Template nichts geändert.

Im Zweifelsfall Passwort besser ändern

Nutzer, die in der Vergangenheit Bugs an eines der beiden Projekte gemeldet haben und sich nicht sicher sind, ob sie dabei möglicherweise Passwörter preisgegeben haben, sollten diese wohl vorsorglich ändern. Auch wenn die Passwörter jetzt entfernt sind: Sie könnten weiterhin über Suchmaschinencaches abrufbar sein. Zudem ist es möglich, dass die Passwörter auch anderen Personen aufgefallen sind und sich bereits im Besitz von Kriminellen befinden.



Anzeige
Top-Angebote
  1. 249,90€ (bei Zahlung mit Masterpass zusätzlich 25€ Rabatt mit Gutschein: SOMMER25) - Bestpreis!
  2. (u. a. Toshiba N300 4 TB für 99€ statt 122,19€ im Vergleich, Samsung C24FG73 für 239€ statt...
  3. 49,97€ (Bestpreis!)

Potrimpo 20. Apr 2017

NextCloud ist auch OpenSource

eiGudeWie 20. Apr 2017

Vielen Dank für die Links! Aber man sollte noch dazu sagen, dass es ein mysqlnd Problem...

hannob (golem.de) 19. Apr 2017

Nein. Es geht um Passwörter für die Datenbank und für Mailserver. Die liegen in der...

bob2020 19. Apr 2017

Spannender Artikel. Habe danach den Bugreport auf [1] gelesen und finde, der Autor hat...


Folgen Sie uns
       


Samsung Flip - Test

Das Samsung Flip ist ein Smartboard, das auf eingängige Weise Präsentationen oder Meetings im Konferenzraum ermöglicht. Auf dem 55 Zoll großen Bildschirm lässt es sich schreiben oder zeichnen - doch erst, wenn wir ein externes Gerät daran anschließen, entfaltet es sein komplettes Potenzial.

Samsung Flip - Test Video aufrufen
Always Connected PCs im Test: Das kann Windows 10 on Snapdragon
Always Connected PCs im Test
Das kann Windows 10 on Snapdragon

Noch keine Konkurrenz für x86-Notebooks: Die Convertibles mit Snapdragon-Chip und Windows 10 on ARM sind flott, haben LTE integriert und eine extrem lange Akkulaufzeit. Der App- und der Treiber-Support ist im Alltag teils ein Manko, aber nur eins der bisherigen Geräte überzeugt uns.
Ein Test von Marc Sauter und Oliver Nickel

  1. Qualcomm "Wir entwickeln dediziertes Silizium für Laptops"
  2. Windows 10 on ARM Microsoft plant 64-Bit-Support ab Mai 2018
  3. Always Connected PCs Vielversprechender Windows-RT-Nachfolger mit Fragezeichen

Smartphone von Gigaset: Made in Bocholt
Smartphone von Gigaset
Made in Bocholt

Gigaset baut sein Smartphone GS185 in Bocholt - und verpasst dem Gerät trotz kompletter Anlieferung von Teilen aus China das Label "Made in Germany". Der Fokus auf die Region ist aber vorhanden, eine erweiterte Fertigung durchaus eine Option. Wir haben uns das Werk angeschaut.
Ein Bericht von Tobias Költzsch

  1. Bocholt Gigaset baut Smartphone in Deutschland

Raumfahrt: Großbritannien will wieder in den Weltraum
Raumfahrt
Großbritannien will wieder in den Weltraum

Die Briten wollen eigene Raketen bauen und von Großbritannien aus starten. Ein Teil des Geldes dafür kommt auch von Investoren und staatlichen Investitionsfonds aus Deutschland.
Von Frank Wunderlich-Pfeiffer

  1. Esa Sonnensystemforschung ohne Plutonium
  2. Jaxa Japanische Sonde Hayabusa 2 erreicht den Asteroiden Ryugu
  3. Mission Horizons @Astro_Alex fliegt wieder

    •  /