Owncloud/Nextcloud: Passwörter im Bugtracker

Wer bei Owncloud oder Nextcloud einen Bugreport melden möchte, wird nach dem Inhalt seiner Konfigurationsdatei gefragt. Einige Nutzer kamen dem nach - und gaben damit ihre Passwörter öffentlich preis.

Artikel veröffentlicht am , Hanno Böck
Im Bugtracker von Nextcloud und Owncloud haben Nutzer versehentlich Zugangsdaten und Passwörter veröffentlicht.
Im Bugtracker von Nextcloud und Owncloud haben Nutzer versehentlich Zugangsdaten und Passwörter veröffentlicht. (Bild: Nextcloud-Logo/Screenshot)

Im Bugtracker auf Github waren bei Owncloud und Nextcloud zahlreiche vertrauliche Daten öffentlich einsehbar, darunter Datenbank-Zugangsdaten und SMTP-Logins für Mailserver. Der Grund: Wenn man einen Bugreport erstellt, wird man nach dem Inhalt der Konfigurationsdatei gefragt. Zwar gibt es eine Warnung vor genau diesem Szenario, aber die übersehen offenbar manche Nutzer.

Bugformular fragt nach Inhalt der Konfigurationsdatei

Der Autor dieses Artikels wollte im Januar einen Fehler in der Kalender-App von Nextcloud melden. Beim Erstellen des Bugreports erscheint ein langes Template, das diverse Informationen über die Installation abfragt. Das ist soweit legitim, denn es hilft in vielen Fällen sicher, Fehler besser einzuschätzen und nachvollziehen zu können. Doch das Template fragt auch nach dem Inhalt der Konfigurationsdatei ("The content of config/config.php").

Es wird erwähnt, dass es auch eine sichere Variante gibt, die Variablen aus der Configdatei mittels eines Kommandozeilentools auszulesen. Allerdings dürften gerade unbedarfte Nutzer Probleme mit der Kommandozeile haben. Und bei Shared-Hosting-Anbietern ist es oft überhaupt nicht möglich, Kommandozeilenbefehle auszuführen. Das Template enthielt auch eine Warnung und bat darum, dass Passwörter und andere vertrauliche Daten entfernt werden sollten. Doch einige Nutzer hatten offenbar nicht bis dahin gelesen oder die Warnung ignoriert.

Alle Bugreports auf Github sind öffentlich einsehbar. Da die URL einem einfachen Schema folgt und die Bugreports schlicht durchnummeriert sind, ist es einfach möglich, alle Bugreports eines Projekts herunterzuladen. Eine kurze Stichprobe ergab, dass tatsächlich Nutzer in den Bugreports ihre Passwörter preisgaben. Besonders kritisch sind dabei Passwörter für SMTP-Zugänge zu Mailservern - die könnten von Kriminellen direkt genutzt werden, um Spam zu verschicken.

Identisches Problem bei Owncloud und Nextcloud

Nextcloud ist ein Fork der Software Owncloud und nutzte exakt dasselbe Bugreporting-Template. Auch dort fanden sich zahlreiche Passwörter im Bugtracker. Sowohl Owncloud als auch Nextcloud wurden via Hackerone über das Problem informiert.

Die Reaktion war äußerst schleppend. Nextcloud bestätigte den Bug und kündigte an, eventuell die entsprechenden Konfigurationsoptionen über das Webinterface verfügbar zu machen. Owncloud reagierte zunächst überhaupt nicht. Auf der FOSDEM-Konferenz Anfang Februar wies der Autor dieses Textes beide Projekte erneut auf das Problem hin.

  • So bittet Owncloud seine Nutzer um den Inhalt von Konfigurationsdateien. (Hanno Böck/Golem.de)
  • Nextcloud hat den Text inzwischen geändert, fragt aber weiterhin nach<br>der Konfigurationsdatei. (Hanno Böck/Golem.de)
  • So sahen viele Bugreports aus - samt Datenbank- und SMTP-Passwort. (Hanno Böck/Golem.de)
So bittet Owncloud seine Nutzer um den Inhalt von Konfigurationsdateien. (Hanno Böck/Golem.de)

Mehrere Wochen vergingen, in denen es keine weiteren Reaktionen gab. Erst ein Tweet Anfang April, der einige Aufmerksamkeit erhielt, sorgte für Bewegung. Nextcloud hatte zu diesem Zeitpunkt bereits Passwörter aus existierenden Bugreports entfernt und ein neues Template für Bugreports entworfen. Owncloud bat um eine Verschiebung der Deadline um eine Woche.

Inzwischen sind, soweit wir das prüfen konnten, alle echt aussehenden Passwörter aus den Bugtrackern entfernt. Bei einigen Fällen bleibt unklar, ob es sich um schlechte Passwörter handelt oder um Werte, die Nutzer dort manuell als Ersatz eingetragen haben.

Das neue Reporting-Template bei Nextcloud fragt weiterhin nach der Konfigurationsdatei, die Warnung folgt jetzt aber direkt danach. Außerdem wird die Möglichkeit über das Kommandozeilentool als Erstes erwähnt. Ganz unproblematisch wirkt das nach wie vor nicht. Owncloud hat bisher an seinem Bugreporting-Template nichts geändert.

Im Zweifelsfall Passwort besser ändern

Nutzer, die in der Vergangenheit Bugs an eines der beiden Projekte gemeldet haben und sich nicht sicher sind, ob sie dabei möglicherweise Passwörter preisgegeben haben, sollten diese wohl vorsorglich ändern. Auch wenn die Passwörter jetzt entfernt sind: Sie könnten weiterhin über Suchmaschinencaches abrufbar sein. Zudem ist es möglich, dass die Passwörter auch anderen Personen aufgefallen sind und sich bereits im Besitz von Kriminellen befinden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
Rennelektroauto
Tesla Model 3 Performance mit 262 km/h Höchstgeschwindigkeit

Tesla hat das Model 3 Performance vorgestellt, das eine Systemleistung von 340 kW und eine Höchstgeschwindigkeit von 262 km/h bietet.

Rennelektroauto: Tesla Model 3 Performance mit 262 km/h Höchstgeschwindigkeit
Artikel
  1. Elektrische G-Klasse angeschaut: Wendig wie ein Panzer, schwerer als ein Rolls Royce
    Elektrische G-Klasse angeschaut
    Wendig wie ein Panzer, schwerer als ein Rolls Royce

    Der elektrische G 580 von Mercedes-Benz ist so schwer wie der Cybertruck. Zwar beherrscht der Geländewagen eine Panzerwende, kann aber noch keinen Anhänger ziehen.
    Ein Bericht von Friedhelm Greis

  2. Windows: Smart-TV bringt Computer zum Absturz
    Windows
    Smart-TV bringt Computer zum Absturz

    Über Jahre sind bei der Sound-Designerin Priscilla Snow immer mehr Funktionen ihres PCs ausgefallen, bis er fast unbrauchbar war. Als Übeltäter hat sich ihr Hisense-Fernseher herausgestellt.

  3. Fritzbox: AVM bestätigt gute Einigung mit Huawei zu Patenten
    Fritzbox
    AVM bestätigt "gute Einigung" mit Huawei zu Patenten

    Trotz viel Geheimhaltung lobt AVM die Einigung mit Huawei zu Wi-Fi-Patenten. Die Workarounds für die Fritzbox werden zurückgenommen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Galaxy S23 400€ günstiger • MindStar: Radeon-Grafikkarten zu Tiefstpreisen • Alternate: Asus Gaming-Laptop 899€ statt 1.599€ • Anker USB-Ladegeräte -45% • MSI MEG 342CDE OLED 999€ • Gamesplanet Spring Sale [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /