Owncloud/Nextcloud: Passwörter im Bugtracker

Wer bei Owncloud oder Nextcloud einen Bugreport melden möchte, wird nach dem Inhalt seiner Konfigurationsdatei gefragt. Einige Nutzer kamen dem nach - und gaben damit ihre Passwörter öffentlich preis.

Artikel veröffentlicht am , Hanno Böck
Im Bugtracker von Nextcloud und Owncloud haben Nutzer versehentlich Zugangsdaten und Passwörter veröffentlicht.
Im Bugtracker von Nextcloud und Owncloud haben Nutzer versehentlich Zugangsdaten und Passwörter veröffentlicht. (Bild: Nextcloud-Logo/Screenshot)

Im Bugtracker auf Github waren bei Owncloud und Nextcloud zahlreiche vertrauliche Daten öffentlich einsehbar, darunter Datenbank-Zugangsdaten und SMTP-Logins für Mailserver. Der Grund: Wenn man einen Bugreport erstellt, wird man nach dem Inhalt der Konfigurationsdatei gefragt. Zwar gibt es eine Warnung vor genau diesem Szenario, aber die übersehen offenbar manche Nutzer.

Bugformular fragt nach Inhalt der Konfigurationsdatei

Der Autor dieses Artikels wollte im Januar einen Fehler in der Kalender-App von Nextcloud melden. Beim Erstellen des Bugreports erscheint ein langes Template, das diverse Informationen über die Installation abfragt. Das ist soweit legitim, denn es hilft in vielen Fällen sicher, Fehler besser einzuschätzen und nachvollziehen zu können. Doch das Template fragt auch nach dem Inhalt der Konfigurationsdatei ("The content of config/config.php").

Es wird erwähnt, dass es auch eine sichere Variante gibt, die Variablen aus der Configdatei mittels eines Kommandozeilentools auszulesen. Allerdings dürften gerade unbedarfte Nutzer Probleme mit der Kommandozeile haben. Und bei Shared-Hosting-Anbietern ist es oft überhaupt nicht möglich, Kommandozeilenbefehle auszuführen. Das Template enthielt auch eine Warnung und bat darum, dass Passwörter und andere vertrauliche Daten entfernt werden sollten. Doch einige Nutzer hatten offenbar nicht bis dahin gelesen oder die Warnung ignoriert.

Alle Bugreports auf Github sind öffentlich einsehbar. Da die URL einem einfachen Schema folgt und die Bugreports schlicht durchnummeriert sind, ist es einfach möglich, alle Bugreports eines Projekts herunterzuladen. Eine kurze Stichprobe ergab, dass tatsächlich Nutzer in den Bugreports ihre Passwörter preisgaben. Besonders kritisch sind dabei Passwörter für SMTP-Zugänge zu Mailservern - die könnten von Kriminellen direkt genutzt werden, um Spam zu verschicken.

Identisches Problem bei Owncloud und Nextcloud

Nextcloud ist ein Fork der Software Owncloud und nutzte exakt dasselbe Bugreporting-Template. Auch dort fanden sich zahlreiche Passwörter im Bugtracker. Sowohl Owncloud als auch Nextcloud wurden via Hackerone über das Problem informiert.

Die Reaktion war äußerst schleppend. Nextcloud bestätigte den Bug und kündigte an, eventuell die entsprechenden Konfigurationsoptionen über das Webinterface verfügbar zu machen. Owncloud reagierte zunächst überhaupt nicht. Auf der FOSDEM-Konferenz Anfang Februar wies der Autor dieses Textes beide Projekte erneut auf das Problem hin.

  • So bittet Owncloud seine Nutzer um den Inhalt von Konfigurationsdateien. (Hanno Böck/Golem.de)
  • Nextcloud hat den Text inzwischen geändert, fragt aber weiterhin nach<br>der Konfigurationsdatei. (Hanno Böck/Golem.de)
  • So sahen viele Bugreports aus - samt Datenbank- und SMTP-Passwort. (Hanno Böck/Golem.de)
So bittet Owncloud seine Nutzer um den Inhalt von Konfigurationsdateien. (Hanno Böck/Golem.de)

Mehrere Wochen vergingen, in denen es keine weiteren Reaktionen gab. Erst ein Tweet Anfang April, der einige Aufmerksamkeit erhielt, sorgte für Bewegung. Nextcloud hatte zu diesem Zeitpunkt bereits Passwörter aus existierenden Bugreports entfernt und ein neues Template für Bugreports entworfen. Owncloud bat um eine Verschiebung der Deadline um eine Woche.

Inzwischen sind, soweit wir das prüfen konnten, alle echt aussehenden Passwörter aus den Bugtrackern entfernt. Bei einigen Fällen bleibt unklar, ob es sich um schlechte Passwörter handelt oder um Werte, die Nutzer dort manuell als Ersatz eingetragen haben.

Das neue Reporting-Template bei Nextcloud fragt weiterhin nach der Konfigurationsdatei, die Warnung folgt jetzt aber direkt danach. Außerdem wird die Möglichkeit über das Kommandozeilentool als Erstes erwähnt. Ganz unproblematisch wirkt das nach wie vor nicht. Owncloud hat bisher an seinem Bugreporting-Template nichts geändert.

Im Zweifelsfall Passwort besser ändern

Nutzer, die in der Vergangenheit Bugs an eines der beiden Projekte gemeldet haben und sich nicht sicher sind, ob sie dabei möglicherweise Passwörter preisgegeben haben, sollten diese wohl vorsorglich ändern. Auch wenn die Passwörter jetzt entfernt sind: Sie könnten weiterhin über Suchmaschinencaches abrufbar sein. Zudem ist es möglich, dass die Passwörter auch anderen Personen aufgefallen sind und sich bereits im Besitz von Kriminellen befinden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
Fehlerhaftes Pedal
Tesla muss Cybertruck zurückrufen

Tesla hat beim Cybertruck einen erheblichen Rückschlag erlitten. Das Unternehmen hat eine Rückrufaktion für fast alle 3.878 Cybertrucks gestartet.

Fehlerhaftes Pedal: Tesla muss Cybertruck zurückrufen
Artikel
  1. Ghost Shark: Australien zeigt Prototyp einer riesigen Unterwasserdrohne
    Ghost Shark
    Australien zeigt Prototyp einer riesigen Unterwasserdrohne

    Die Royal Australian Navy hat zusammen mit Anduril Ghost Shark vorgestellt, eine U-Boot-Drohne, die Aufklärungs-, Überwachungs- und Erkundungsmissionen durchführen soll.

  2. Voodoo-X: Bastler bauen eine neue 3dfx Grafikkarte
    Voodoo-X
    Bastler bauen eine neue 3dfx Grafikkarte

    Mit originalen Chips und neuen Designtools soll die bisher beste 3dfx-Grafikkarte entstehen. HDMI und zuschaltbaren Speicher gab es bisher nicht.

  3. Altstore für iPhones ausprobiert: So wenig Spaß macht die Installation alternativer Appstores
    Altstore für iPhones ausprobiert
    So wenig Spaß macht die Installation alternativer Appstores

    Dank DMA lassen sich in Europa endlich alternative App-Marktplätze auf iPhones installieren. Golem.de hat das mit dem Altstore ausprobiert - mit reichlich Frust.
    Ein Erfahrungsbericht von Tobias Költzsch und Daniel Ziegener

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Spring Sale bei Gamesplanet • Neuer MediaMarkt-Flyer • MindStar: AMD Ryzen 7 7800X3D 339€ • Bose Soundbar günstig wie nie • Samsung Galaxy S23 -37% • MSI OLED Curved 34" UWQHD 175Hz -500€ • Alternate: Deep Cool CH560 Digital Tower-Gehäuse 99,90€ • PS5-Spiele -75% [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /