Owncloud schließt kritische Sicherheitslücken

Der Open-Source Cloud-Server owncloud schließt mit Version 5.0.6 einige kritische Sicherheitslücken und repariert weitere allgemeine Fehler in der Software. Das sechste kleine Update seit der Veröffentlichung der Version 5.0 stopft insgesamt neun Lücken, die etwa das Einschleusen von PHP-Code und SQL-Befehlen ermöglichten.

Zur Ausnutzung der Lücken, die das Changelog näher erläutert, wurden teilweise Root-Rechte benötigt, teilweise können aber auch unautorisierte Anwender die Lücken für Phishing und Cross Site Request Forgery nutzen. Anwender der Version 5 sollten bald möglichst auf die Version 5.0.6 umsteigen. Da einige der Lücken auch die Versionen 4.0.x und 4.5.x betreffen, wurden hierfür die Updates 4.0.15 beziehungsweise 4.5.11 zur Verfügung gestellt.

Die freie Community-Edition des Open-Source-Projekts owncloud hatte mit der fünften Version bereits zuvor Probleme. Das Update auf Version 5.0.1 und die als Fix gedachte Version 5.0.2, die ein Sicherheitsproblem mit einer Möglichkeit zur SQL-Injection und eine Cross-Site-Scripting-Lücke schließen sollten, verhinderten durch einen Fehler in der MySQL-Datenbank die Installation der Updates. Erst Version 5.0.3 ließ sich installieren und behob das damalige Sicherheitsproblem.

Die aktuelle Version owncloud 5.0.6 ist per direktem Download zu beziehen.