Owncloud/Nextcloud: Passwörter im Bugtracker

Wer bei Owncloud oder Nextcloud einen Bugreport melden möchte, wird nach dem Inhalt seiner Konfigurationsdatei gefragt. Einige Nutzer kamen dem nach - und gaben damit ihre Passwörter öffentlich preis.

Artikel veröffentlicht am , Hanno Böck
Im Bugtracker von Nextcloud und Owncloud haben Nutzer versehentlich Zugangsdaten und Passwörter veröffentlicht.
Im Bugtracker von Nextcloud und Owncloud haben Nutzer versehentlich Zugangsdaten und Passwörter veröffentlicht. (Bild: Nextcloud-Logo/Screenshot)

Im Bugtracker auf Github waren bei Owncloud und Nextcloud zahlreiche vertrauliche Daten öffentlich einsehbar, darunter Datenbank-Zugangsdaten und SMTP-Logins für Mailserver. Der Grund: Wenn man einen Bugreport erstellt, wird man nach dem Inhalt der Konfigurationsdatei gefragt. Zwar gibt es eine Warnung vor genau diesem Szenario, aber die übersehen offenbar manche Nutzer.

Bugformular fragt nach Inhalt der Konfigurationsdatei

Der Autor dieses Artikels wollte im Januar einen Fehler in der Kalender-App von Nextcloud melden. Beim Erstellen des Bugreports erscheint ein langes Template, das diverse Informationen über die Installation abfragt. Das ist soweit legitim, denn es hilft in vielen Fällen sicher, Fehler besser einzuschätzen und nachvollziehen zu können. Doch das Template fragt auch nach dem Inhalt der Konfigurationsdatei ("The content of config/config.php").

Es wird erwähnt, dass es auch eine sichere Variante gibt, die Variablen aus der Configdatei mittels eines Kommandozeilentools auszulesen. Allerdings dürften gerade unbedarfte Nutzer Probleme mit der Kommandozeile haben. Und bei Shared-Hosting-Anbietern ist es oft überhaupt nicht möglich, Kommandozeilenbefehle auszuführen. Das Template enthielt auch eine Warnung und bat darum, dass Passwörter und andere vertrauliche Daten entfernt werden sollten. Doch einige Nutzer hatten offenbar nicht bis dahin gelesen oder die Warnung ignoriert.

Alle Bugreports auf Github sind öffentlich einsehbar. Da die URL einem einfachen Schema folgt und die Bugreports schlicht durchnummeriert sind, ist es einfach möglich, alle Bugreports eines Projekts herunterzuladen. Eine kurze Stichprobe ergab, dass tatsächlich Nutzer in den Bugreports ihre Passwörter preisgaben. Besonders kritisch sind dabei Passwörter für SMTP-Zugänge zu Mailservern - die könnten von Kriminellen direkt genutzt werden, um Spam zu verschicken.

Identisches Problem bei Owncloud und Nextcloud

Nextcloud ist ein Fork der Software Owncloud und nutzte exakt dasselbe Bugreporting-Template. Auch dort fanden sich zahlreiche Passwörter im Bugtracker. Sowohl Owncloud als auch Nextcloud wurden via Hackerone über das Problem informiert.

Die Reaktion war äußerst schleppend. Nextcloud bestätigte den Bug und kündigte an, eventuell die entsprechenden Konfigurationsoptionen über das Webinterface verfügbar zu machen. Owncloud reagierte zunächst überhaupt nicht. Auf der FOSDEM-Konferenz Anfang Februar wies der Autor dieses Textes beide Projekte erneut auf das Problem hin.

  • So bittet Owncloud seine Nutzer um den Inhalt von Konfigurationsdateien. (Hanno Böck/Golem.de)
  • Nextcloud hat den Text inzwischen geändert, fragt aber weiterhin nach<br>der Konfigurationsdatei. (Hanno Böck/Golem.de)
  • So sahen viele Bugreports aus - samt Datenbank- und SMTP-Passwort. (Hanno Böck/Golem.de)
So bittet Owncloud seine Nutzer um den Inhalt von Konfigurationsdateien. (Hanno Böck/Golem.de)

Mehrere Wochen vergingen, in denen es keine weiteren Reaktionen gab. Erst ein Tweet Anfang April, der einige Aufmerksamkeit erhielt, sorgte für Bewegung. Nextcloud hatte zu diesem Zeitpunkt bereits Passwörter aus existierenden Bugreports entfernt und ein neues Template für Bugreports entworfen. Owncloud bat um eine Verschiebung der Deadline um eine Woche.

Inzwischen sind, soweit wir das prüfen konnten, alle echt aussehenden Passwörter aus den Bugtrackern entfernt. Bei einigen Fällen bleibt unklar, ob es sich um schlechte Passwörter handelt oder um Werte, die Nutzer dort manuell als Ersatz eingetragen haben.

Das neue Reporting-Template bei Nextcloud fragt weiterhin nach der Konfigurationsdatei, die Warnung folgt jetzt aber direkt danach. Außerdem wird die Möglichkeit über das Kommandozeilentool als Erstes erwähnt. Ganz unproblematisch wirkt das nach wie vor nicht. Owncloud hat bisher an seinem Bugreporting-Template nichts geändert.

Im Zweifelsfall Passwort besser ändern

Nutzer, die in der Vergangenheit Bugs an eines der beiden Projekte gemeldet haben und sich nicht sicher sind, ob sie dabei möglicherweise Passwörter preisgegeben haben, sollten diese wohl vorsorglich ändern. Auch wenn die Passwörter jetzt entfernt sind: Sie könnten weiterhin über Suchmaschinencaches abrufbar sein. Zudem ist es möglich, dass die Passwörter auch anderen Personen aufgefallen sind und sich bereits im Besitz von Kriminellen befinden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Cloud-Speicher
Nextcloud 13 stabilisiert Talk und E2E-Verschlüsselung
artikel-bild
Open-Source-Unternehmen
Startups sterben, Nextcloud startet neu
artikel-bild
Pwned Passwords
Troy Hunt veröffentlicht eine halbe Milliarde Passworthashes
Meistgelesen
artikel-bild
Sci-Fi der 60er und 70er
Die großen fünf Visionäre
artikel-bild
Vermona
Zufall und Synthesizer
artikel-bild
VW ID.Buzz XL
Längerer Elektrobus mit mehr PS und Reichweite
Kommentarübersicht
Re: NC: Issue Template
Potrimpo 20. Apr 2017

NextCloud ist auch OpenSource

Re: Sinnloses Handeln zu zeigen ist wichtig
eiGudeWie 20. Apr 2017

+1

Re: hmmm
eiGudeWie 20. Apr 2017

Vielen Dank für die Links! Aber man sollte noch dazu sagen, dass es ein mysqlnd Problem...

Re: irreführender Titel, korrekt wäre "Passwort...
hab (Golem.de) 19. Apr 2017

Nein. Es geht um Passwörter für die Datenbank und für Mailserver. Die liegen in der...

Aktuell auf der Startseite von Golem.de
Warnmeldungen
Rund alle 36 Stunden ein Alarm per Cell Broadcast

Zwischenfazit nach 100 Tagen: Bislang wurden bundesweit 77 Alarmmeldungen per Cell Broadcast übertragen.

Warnmeldungen: Rund alle 36 Stunden ein Alarm per Cell Broadcast
Artikel
  1. Vermona: Zufall und Synthesizer
    Vermona
    Zufall und Synthesizer

    Wie aus einem großen DDR-Staatsbetrieb ein erfolgreicher kleiner Hersteller von analogen Synthies wurde.
    Von Martin Wolf

  2. Digitalisierung: Behörde bekommt weniger Beschwerden über Faxwerbung
    Digitalisierung
    Behörde bekommt weniger Beschwerden über Faxwerbung

    Naht allmählich das Ende der Technologie? Die Bundesnetzagentur hat 2022 viel weniger Beschwerden über Fax-Spam bekommen als im Jahr zuvor.

  3. Ceconomy AG: Media Markt plant offenbar Reparaturabo
    Ceconomy AG
    Media Markt plant offenbar Reparaturabo

    Egal wo die Ware gekauft wurde: Bei Media Markt soll man künftig seine Elektronikgeräte reparieren lassen können - mit einem zweistufigem Abo.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • SanDisk Ultra NVMe 1 TB ab 39,99€ • Samsung 980 1 TB 45€ • MindStar: be quiet! Pure Base 500 69€, MSI MPG B550 Gaming Plus 99,90€, Palit RTX 4070 GamingPro 666€, AMD Ryzen 9 7950X3D 699€ • Corsair DDR4-3600 16 GB 39,90€ • KFA2 RTX 3060 Ti 329,99€ • Kingston Fury 2 TB 129,91€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /