Warnung vor der Eingabe persönlicher Daten bei der Nutzung von Bugreports – Verwendung des Config Reports in ownCloud.

Veröffentlicht von ownCloud GmbH – 21. April 2017

Laut einem kürzlich von Security-Spezialist Hanno Böck in seinem Blog veröffentlichten Beitrag sowie einem auf Golem erschienenen Bericht kam es im Rahmen der Nutzung der Bugreport-Funktion auf Github zu einer potentiellen Veröffentlichung von Passwörtern durch verschiedene User. Wer demnach bei ownCloud einen Bugreport ausfüllt, wird nach dem Inhalt seiner Konfigurationsdatei gefragt. In mehreren Fällen kam es so zu einem versehentlichen Reporting von sicherheitsrelevanten Informationen. ownCloud reagiert auf das Problem mit einem Cleanup des gesamten Bestands an Issues, einem zukünftigen wöchentlichen Scan sowie einer deutlicheren Hervorhebung des Sicherheitshinweises, der davor warnt, sensible Informationen in den Report aufzunehmen.

Außerdem wird nochmal deutlich auf den grafischen Config Report hingewiesen, der für ownCloud Kunden schon seit längerem im Einsatz ist und seit ownCloud Server 9.1.4 allgemein zur Verfügung steht.

Obwohl das Formular bereits eine Warnung enthielt, Passwörter oder andere relevante Daten vor dem Abschicken zu entfernen, kam es ab und an zu diesen versehentlichen Veröffentlichungen, die Daten waren in der Folge auf Github öffentlich einsehbar. Als besonders kritisch gelten dabei Passwörter für SMTP-Zugänge zu Mailservern.

Intensives Monitoring und deutlichere Hinweise

Mithilfe der API, die von Github bereitgestellt wurde, haben die ownCloud-Entwickler alle relevanten Issues untersucht und explizit Passwörter gescannt, die in den Reports enthalten waren. Über alle Repositories hinweg konnten dabei 553 Passwörter ermittelt und manuell entfernt werden. Um dem Problem künftig proaktiver zu begegnen, wurde der – bereits zuvor enthaltene – Hinweis, keine sensiblen Daten einzutragen, noch einmal deutlicher hervorgehoben. Außerdem kündigt das Unternehmen an, den automatisierten Scan in Zukunft einmal pro Woche durchzuführen.

Mit dem Config Report der sowohl grafisch als ownCloud App, aber auch über die Command Line zur Verfügung steht, gibt es eine einfache und komfortable Möglichkeit die Konfiguration des Systems für das Reporting von Issues zur Verfügung zu stellen ohne sicherheitsrelevante Informationen herauszugeben. Diese werden automatisch entfernt.

Nutzern, die Bugreports mit Passwörtern ausgefüllt haben, empfehlen wir zudem in jedem Fall eine vorsorgliche Änderung ihrer Passwörter. Bei offenen Fragen können sich Betroffene auch jederzeit an das ownCloud Security Team security@owncloud.com wenden.

Bitte füllen Sie das Formular aus um Ihren Download zu erhalten.


By submitting this form, you are granting ownCloud GmbH permission to contact you. You can revoke permission any time using the unsubscribe link found at the bottom of every email or by sending an email to info@owncloud.com