Der Elefant im Raum

Eine Reihe schwerwiegender Bugs trifft aktuell auf alle Owncloud-Instanzen. Mit der CVSS¹ Höchstwertung von 10 sticht einer besonders hervor:²

In Containern gehostete Systemen lassen normalerweise nicht zugängliche PHP-Umgebungsvariablen abrufen. Dort können Credentials von Datenbanken, Mailservern und sonstigen Tokens enthalten sein. Selbst wenn dieses in einem Webserver (phpinfo) deaktiviert worden sei. Der Advisory schreibt:

The “graphapi” app relies on a third-party library that provides a URL. When this URL is accessed, it reveals the configuration details of the PHP environment (phpinfo). This information includes all the environment variables of the webserver (…) such as the ownCloud admin password, mail server credentials, and license key.

Moment, Graph-API? Da war doch was, schaut auf den Pfad:

/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php

Wenn das nicht der Treppenwitz der Geschichte ist: Da positioniert sich Owncloud als Alternative zur Microsoft-Cloud und dann schlummert da eine Microsoft Graph-API³. Keine Informationen, wozu diese Komponente eingesetzt wird. Es ist anzunehmen, dass jede Owncloud-Instanz mit der Infinite Scale⁴ Eigenentwicklung “hintenherum” doch an der Zitze von Microsoft-Entwicklungswerkzeugen und Technologien hängt. Dieser Elefant im Raum bleibt leider in der Heise-Meldung unerwähnt.⁵

Im Nextcloud-Server wird die Komponente nicht eingesetzt. Auch die weiteren schweren Bugs bei WebDAV⁶ und oAUTH⁷ sind einer Nextcloud fremd. Da haben sich die Wege offensichtlich bereits hinreichend weit voneinander entfernt.

Doch in Nextcloud schlummert ein unschöner Bug im Zusammenhang mit externen Laufwerken. Ohne Aufregung wurde dieser bereits Ende Oktober behoben und wie üblich nach Ablauf der 3-Wochen Embargo-Frist gestern öffentlich.⁸

In diesem Sinne,
Euer Tomas Jakobs