Die Woche gab es Sicherheitsmeldungen über gravierenden Schwachstellen in der Open Source-Software ownCloud und NextCloud, die in Container-Umgebungen den Klau von Anmeldedaten und mehr ermöglichen. Zum 21. Nov. 2023 gab es diese ownCloud-Sicherheitswarnung sowie diese Sicherheitswarnung zu Schwachstellen. NextCloud hat diese Sicherheitswarnung herausgegeben. Artikel zu den Schwachstellen finden sich bei heise und Bleeping Computer.
Suchen
Blogs auf Borncity
Links
- Werbung
-
Seiten
Kategorien
Sponsoren
Awards
MVP: 2013 – 2016
WIMVP: 2017 – 2020Blogroll
Websites
Soziale Netzwerke-Seiten
Foren
Um mir den Moderationsaufwand zu erparen, empfehle ich eines der unter Websites verlinkten Angebote. Im Microsoft Answers-Forum bin ich als Moderator zu Windows-Themen unterwegs.
Neueste Kommentare
- Volker bei Nexus als KIS: Neueste Service Release erfordert CA
- Bob bei Adobe Acrobat Reader 24.002.20687: Absturz auf einem RDS Server
- Nico bei Adobe Acrobat Reader 24.002.20687: Absturz auf einem RDS Server
- Luzifer bei Mögliche Schwachstelle bei Ticket-System der Koelnmesse aufgedeckt, gibt es einen 2. Modern Solutions-Fall?
- MWC bei Chrome 124 macht TLS-Handshake kaputt
2015
Zur Info: Es sind nur vergleichsweise alte Versionen z.B. Nextcloud vom Juni betroffen…
Will ich wissen, wie viele Instanzen da draußen nicht up2date sind? Aber ja, Recht hast Du. Juni ist in dieser schnelllebigen Zeit lange, lange her.
Das ist doch das Problem der jeweiligen Betreiber. Die Pflege ist kinderleicht. Der Test via scan.nextcloud.com ebenfalls.
Mich hat der Bericht zum jetzigen Zeitpunkt auch verwundert.
Nachsehen ergab, daß das vor etwa einem Monat eingespielte Update (das System selbst benachrichtigt, wen es eine neue Version gibt) weiterhin aktuell ist.
Vermutlich ergibt sich die Pressemitteilung aus der Timline für "reasonable disclosure", wobei zwischen Verfügbarkeit des Updates und Offenlegung der Schwachstelle eine gewisse Zeit vergehen muß.
Also da muss ich aber hier einen Hoster den wir für Nextcloud verwenden wirklich loben. Ich war die Woche so voll, dass ich mir keine IT-News angeschaut habe. Im Postfach bekamm ich eine E-Mail, die mich auf das Sicherheitsproblem hingewiesen hatte. Nur als Off Topic
Hast Du tatsächlich eine verwundbare Version betrieben, für die es schon seit Monaten ein Update gab, oder war es nur eine Standard E-Mail?
Nein wir hatten Version 27.1.3
Bezüglich dem Sicherheitsupdate auf 27.1.4 hatte ich die Info vom Hoster bekommen.
Ein kurzer Blick über die von mir verwalteten Instanzen ergab: erstens gibt es hier keine Container, sondern virtuelle Maschinen. Zweitens sind alle Instanzen auf dem aktuellen Stand. Da kann ich mich ja entspannt zurücklehnen.
Also nur outdated Versionen … Fehler eindeutig beim User!
Wer solche Systeme betreibt und nicht up2date hält sollte lebenslang gesperrt fürs Netz werden.
Das sind Admin Grundregeln.
Dann müsstest Du zunächst den Betrieb von mehreren Millionen Wintendo-Servern in Rechenzentren ungeschützt am öffentlichen Netz verbieten, die von irgendwelchen Kids betrieben werden, die unbedingt einen Minecraft-, Ark Survival oder sonstigen Gameserver meinen brauchen zu müssen.
Mhm, ich würde mich eher auf professionelle Unternehmen fixieren.
Habel mal bei 'nem Consultant gewerkelt, der es den Mitarbeitern ausdrücklich *verboten* hat, die Systeme der Kunden aktuell zu halten.
Begründung:
– Mögliche Inkompabilität zu eingesetzten Produkten (SAGE … Grützenware, selten so einen Müll gesehen)
– Mögliche ausbleibende Aufträge der Kunden durch gepatchte, bekannte Fehler (unverzeihlich!)
Nicht mal fehlerbehaftete Treiber durften ausgetauscht werden (bekannt für Fehler unter Hyper-V und Clustering… fehlerbereinigte Treiber durften nicht eingespielt werden).
Die Geschichte mit "Mein Schiff" – die ja auch gehackselt wurden… war ebenfalls Kunde des Unternehmens, bei dem ich werkelte.
Vorteil bei denen: (Fast) Zero-Trust, Produktiv-Umgebung ist geklont (für Vorab-Tests), Zugriff erfolgt nur via Freigabe durch Administrator (Anmeldung vorab).
Nachteil: Keinerlei Prüfung der Gegenseite. Fire and Forget.
Laß die Kids mit ihren Minecraft-Server zocken, ein RZ sollte es bemerken, wenn da eine Instanz Teil eines Botnetzes wird.
Die Unternehmen sind um Welten schlimmer…
Also ich verstehe ehrlich gesagt "Eure" Sprüche bzgl. alten Versionen, nicht up to date, nur outdated Versionen und "…verwundbare Version betrieben, für die es schon seit Monaten ein Update gab", usw. nicht so ganz,
denn die gepachten Versionen z. B. der NC 25.x, 26.x und 27.x sind alle vom 26. Oktober 2023.
Da denke ich, bleibt lieber auf Teppich mit solchen Sprüchen, ist erst 1 Monat :-)
Was mir viel mehr du denken gibt, ist die immer wiederkehrende, miserable Aktualisierung der Changlogs auf der NC-Webseite, bestes bsp. dazu wieder die seit Tagen vorhandene 26.0.9, da gibts noch immer keinen off. Changelog auf der Webseite.
Wir haben fast Dezember! Sicherheitslücken ist ein Monat schon grob fahrlässig.
System Updates ist Admin Grundregel, wer das vernachlässigt ist im falschen Job! Erst recht bei Soft/Hardware die dazu bestimmt ist im Netz zu hängen.
Würde hier der ITler nicht mal die Grundregeln berücksichtigen dürfte er seine Papiere holen!
/edit/
aber sieht man ja an den täglichen News, wo Firmen wieder mal gehackt wurden und Daten verloren haben… Fachpersonal ist eben schwer zu kriegen.
Zumal man den Prozess auch wunderbar automatisieren kann…
Null Verständnis für nachlässige Administratoren, die nicht up-to-date sind.
Grundsätzlich im Pinzip schon korrekt, nur gehört imho des weiteren zu den Grundregeln, dass man zuerst die Changelogs liest (und versteht) und erst danach die Updates einspielt, somit ist der weiter erwähnte Punkt "….Zumal man den Prozess auch wunderbar automatisieren kann…" auch mehr als fragwürdig, ausser das durchlesen (und verstehen) ist auch automatisiert :-)
Mit anderen Worten, ist daher zuerst mal in erster Linie der Hersteller dafür verantwortlich, dass aktuelle Changelogs vorhanden sind und in dieser Displizin ist Nextcloud eine Katastrophe.
SICHERHEITSAKTUALISIERUNGEN mußt Du nicht vorab "lesen und verstehen".
Kern-Komponenten sind kompromittiert und müssen aktualisiert werden. Grundschulwissen.
Wer sich hier an Automatisierung aufhängt, sollte seine Position in öffentlich erreichbarer IT durchaus selber in Frage stellen.
Andererseits, wenn man sich so die alltäglichen, erfolgreichen Cyber-Angriffe in Deutschland anschaut, überrascht mich nichts mehr.
Oft werden Sicherheitsupdates nicht OOB zur Verfügung gestellt, sondern wie auch in diesem Fall tief in vielen anderen Tickets vergraben in einem generellen Release verpackt um nicht zu sagen versteckt. Gründe mögen diverse sein, von Aufmerksamkeit vermeiden bis Eitelkeit Entwickler usw., erschwert die Evaluierung der Tragweite und die Risikoabschätzung für andere Probleme durch das Einspielen immens.
Mmmmm, na ja, was soll ich dazu sagen?
Nochmals zum mitschreiben, wenn der Hersteller Updates zur Verfügung stellt und diese sind tagelang nicht als Changelog verfügbar, wie soll man dann abschätzen können um was es geht?
Das ein Update welcher als Security-Fix kommuniziert wird, ohne wenn und aber zu installieren ist, drüber müssen wir nicht diskutieren.
Hier ein konkretes Bsp. dafür: bei Nc 26 gibt es seit letztem Donnerstag, 23.11 einen Update auf die 26.0.9 bis gestern war kein Changelog vorhanden und heute, also 5 Tage danach wird er veröffentlicht, das ist imho einfach eine Kakastrophe und kommt immer wieder vor, desweiteren wurde dieser heute mit dem Datum vom 23. November publiziert, das ist imho auch mehr als unschön.
Mit anderen Worten sollte man nicht nur immer auf den Admins und Usern "rumhacken", sondern die Hersteller in erster Linie in solchen Dingen in die Pflicht nehmen!