Onlinespeicher sicher halten: Nur aktuelle OwnCloud-Version verwenden

BSI Lagezentrum: Warnung vor gehackten Onlineshops

Das Nationale IT-Lagezentrum im BSI
Quelle: Bundesamt für Sicherheit in der Informationstechnik

Das Bundesamt für Sicherheit in der Informationstechnik warnt erneut vor nicht aktuellen Installationen von ownCloud bzw. der ganz ähnlichen Webanwendung NextCloud. Veraltete Versionen böten Hackern zu viele Angriffsvektoren, um auf Daten zuzugreifen, zu manipulieren oder anderweitig zu verwenden, heißt es in einer heute veröffentlichten Pressemitteilung des BSI.

Das BSI habe seit Februar 2017 eigene Analysen durchgeführt und massenhaft Websites gescannt. Dabei wurde das Amt in etwa 20.000 Fällen fündig. Sowohl für ownCloud als auch für NextCloud gibt es Onlinetests, die feststellen, ob ein Update der eigenen Installation notwendig ist. Die URS der Testsites lauten https://scan.owncloud.com und https://scan.nextcloud.com.

BSI-Präsident ArneSchoenbohm

Arne Schönbohm, Präsident des BSI
Quelle: BSI

Der Präsident des BSI, Arne Schönbohm, wird mit den Worten zitiert, „Cloud-Betreiber sind für die Sicherheit ihrer Cloud verantwortlich und sollten mit dieser Verantwortung sorgsam umgehen. Der Betrieb von Clouds mit veralteten Software-Versionen, für die bereits seit langer Zeit Updates der Hersteller bereitstehen, ist fahrlässig und macht es Kriminellen viel zu leicht, sensible Daten zu stehlen oder Geschäftsprozesse zu beeinflussen.“

Die aktuellen Versionsnummer sind: ownCloud 9.1.4 und NextCloud 11.0.2

Dieser Beitrag wurde unter owncloud, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Kommentare zu Onlinespeicher sicher halten: Nur aktuelle OwnCloud-Version verwenden

  1. Stefan sagt:

    Schade, dass bei Goneo der in Owncloud integrierte Auto-Updater nicht funktioniert und man auch trotz SSH Zugang nicht auf der Kommandozeile mittels occ ein sauberes Update durchführen kann.

    Ich kann bei euch leider nur mittels FTP Client und Komplett-Löschen und Neuhochladen (bei Beibehaltung von /config und /data) owncloud aktualisieren, was wirklich keinen großen Spaß macht und lange dauert.

    Wenn alle SharedHoster so arbeiten, wundert es mich nicht, dass so viele owncloud/nextCloud Instanzen nicht regelmäßig aktualisiert werden.

    Könntet Ihr da nicht etwas optimieren?

  2. Stefan sagt:

    Es gab keine Fehlermeldung: Der Updater kam bis zum Punkt, dass die 3.Anbiter-Apps deaktiviert wurden und der Core aktualisiert wurde, ging dann aber nicht mehr weiter.

    Es wurde kein PHP Timeout angezeigt, es ist nur einfach nichts mehr passiert und das untere Drittel an abzuarbeitenden Tasks in der Updater-Ansicht wurde nicht mehr vom System in Angriff genommen.

    Nach ca. 30 Minuten abwarten (meine DB und Daten sind ca. 2MB groß, es dürfte also kein Problem mit dem Volumen sein), habe ich das Fenster in der Admin-Konsole neugeladen und konnte den Updater nun (ohne Rückmeldung) gar nicht mehr aufrufen.

    Als ich dann das komplett manuelle Update mittels FTP Transfer der Daten durchgeführt habe, konnte ich sehen, dass ein Teil des Updateprozesses durchgelaufen ist (im Update Ordner).

    Es scheint also generell instabil zu sein, wenn man über http ein PHP gesteuertes Update durchführt (auch bei PHPBB, Joomla und Co.) weshalb Owncloud/Nextcloud selbst immer zur Verwendung des OCC Kommandozeilen-Updates raten bzw. zum vollmanuellen FTP Upload als alternative für SharedHoster.

    Für mich ist es einfach deutlich unbequemer als zuvor die Verwendung auf meinem eigenen Debian Server mit Root Zugriff, aber natürlich war mir das zumindest zum Teil bewußt, als ich vom dedicated server zu einem SharedHost gewechselt bin.

    • Markus sagt:

      Es gibt unter „Experten-Funktionen“ im Kundencenter eine Fehlerausgabe im „Konsolenlook“. Möglicherweise wurde da ein Fehler gezeigt?

      Von welcher Version aus haben Sie geupdated und welche PHP-Version war/ist aktiviert?

      Wenn es die Skriptlaufzeit ist, die das Problem verursacht, dann könnte man versuchen, diese hochzusetzen (je nach PHP-Version per htaccess oder php.ini), ansonsten ist diese aber schon recht hoch eingestellt.

      • Stefan sagt:

        Danke für den Hinweis: Die Fehlerausgabe im Goneo Kundencenter ist zwar sehr detailliert, zeigt aber nur die Einträge bis heute Mittag, daher für den konkreten Fall zu spät.

        Es war ein Update von 9.1.3.1 (frische Clickstart Installation) auf 9.1.4.2

        Ich konnte im Owncloud Log selbst folgende Info finden, die auf ein Problem mit der DocumentsApp hinweist, die ich nicht aktiviert hatte, aber eventuell direkt nach der Erstinstallation temporär aktiviert habe:

        Error PHP shell_exec(): Unable to execute ‚command -v libreoffice‘ at /web/1/000/015/012/12892/htdocs/xxxxxx/owncloud/lib/private/PreviewManager.php#308 2017-03-18T22:19:07+00:00

        Debug core starting upgrade from 9.1.3.1 to 9.1.4.2 2017-03-18T22:18:42+00:00

  3. Stefan sagt:

    Neue OC Version,
    gleiches Problem bei Verwendung des Updaters:

    Er bleibt nach dem Deaktivieren der Apps stehen:
    Updating core
    Disable app calendar: [success]
    Disable app contacts: [success]
    Disable app mail: [success]
    Disable app tasks: [success]
    Disable app twofactor_totp: [success]

    Im Goneo Serverlog gibt es nur einen Eintrag in Bezug auf eine htaccesstest.txt Datei,
    aber ich denke nicht, dass es für das Update relevant sein könnte:

    [Fri Apr 21 21:33:09 2017] [error] [client 149.172.13.61] client denied by server configuration: /web/…./htdocs/meinedomain/owncloud/data/htaccesstest.txt

    Was haben denn die Tests von Ihrer Seite ergeben?

    • Markus sagt:

      Soeben hatte ich eine alte Version mehrfach geupdated und bin inzwischen bei oc 9.1.5 gelandet. Bei oc 9.0.4 gab es Probleme. Hier meldete der Updater, dass der aktuelle Shell-User occ ausführen dürfen muss. Das scheint ein Bug zu sein, für den es Patches gibt: https://central.owncloud.org/t/patches-for-known-update-issues-from-version-9-0-4-9-0-5-9-1-0-9-1-1/3549/1 (hier finden sich Patchvarianten für die Konsole und für FTP (in Github).

      Für die Version 9.1.5 musste allerdings im Updater der „Channel“ Beta ausgewählt werden, obwohl dies ja eine stabile Version ist. Die neuste Version im Beta-Kanal ist offenbar aktuell owncloud 10.0.0

      Die Fehlermeldung „client denied by server configuration“ deutet allerdings schon darauf hin, dass ein Client per htaccess ausgesperrt wurde.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.