In Nextcloud Server ließ sich die Zwei-Faktor-Authentifizierung umgehen, zeigt eine Codeanalyse des BSI. Es wurden auch Passwörter im Klartext gespeichert.
Das Münchener Unternehmen MGM Security Partners die Serveranwendung des Cloudanbieters Nextcloud analysiert und mehrere Schwachstellen gefunden. Angreifer konnten im Klartext gespeicherte Passwörter auslesen und die Zwei-Faktor-Authentifizierung umgehen. Die Untersuchung erfolgte im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik als Teil des Projektes zur Codeanalyse von Open-Source- Software .
im Juli 2024 erfüllten zwei Fixes noch nicht die Anforderungen der Prüfer. Das BSI veröffentlichte den Bericht verzögert, damit die Entwickler die Schwachstellen beheben können.gemeldete Sicherheitslücke mit hohem Gefahrenpotenzial ermöglichte es Angreifern, die 2FA zu umgehen und einen Account mit ihnen bekannten Zugangsdaten zu übernehmen. Ein Dienst in der Serveranwendung prüft, ob eine Sitzung eine 2FA zum Login benötigt.
Eine weitere Lücke erkannten die Prüfer beim Austausch von Dateien zwischen zwei Nextcloud-Instanzen. Aufgrund fehlender Authentifizierungsmechanismen konnte die empfangende Instanz den Eigentümer der Datei seitens der sendenden Instanz nicht überprüfen. Zwar müssen Nutzer eine Anfrage zum Dateiempfang bestätigen. Weil sich Angreifer aber als ein beliebiger Nutzer der sendenden Instanz ausgeben konnten, ließen sich so bösartige Dateien verschicken.
Bereits seit 2021 betreibt das CAOS-Projekt zur Untersuchung von Anwendern und Behörden häufig genutzter Open-Source-Software. Das Ziel ist es, Sicherheitslücken zu finden und den Verantwortlichen mitzuteilen, um so die sichere Entwicklung quelloffener Software zu fördern. Als Teil der Initiative untersuchten BSI und MGM bereits die
Cloud Computing Cloud-Dienste Nextcloud Open Source Security Sicherheitslücken Software
Deutschland Neuesten Nachrichten, Deutschland Schlagzeilen
Similar News:Sie können auch ähnliche Nachrichten wie diese lesen, die wir aus anderen Nachrichtenquellen gesammelt haben.
Fortnite-Server gehen heute offline: Server-Status und Inhalte des OG Season 2-Updates im TickerFortnite erhält heute ein neues Update mit dem Start von OG Season 2. Die Server werden für einige Stunden offline gehen. Alle Infos zum Server-Status und bekannten Inhalten des Updates sind hier.
Weiterlesen »
Nextcloud Talk als Teams-ErsatzDieser Artikel befasst sich mit Nextcloud Talk als Alternative zu Microsoft Teams. Leser mit einem heise-Plus-Abo können den vollständigen Artikel lesen und anhören.
Weiterlesen »
Passwörter: Nervig und Unsicher - Gibt es Alternativen?Der Artikel diskutiert die Herausforderungen der Passwortsicherheit und Bequemlichkeit. Es wird auf die Schwachstellen herkömmlicher Passwörter hingewiesen und nach Alternativen gesucht.
Weiterlesen »
Passwörter: Nervig, Unsicher und Veraltet?Der Artikel untersucht die Nachteile von Passwörtern: Sie sind schwer zu merken, unsicher und lästig. Es wird die Notwendigkeit von Alternativen zum herkömmlichen Passwort betont, da sie nicht immer vor Hackern schützen.
Weiterlesen »
Darknet: Konfigurationen und VPN-Passwörter von Fortinet-Geräten aufgetauchtVollständige Konfigurationsdateien mit VPN-Passwörtern im Klartext: Eine Gruppe verschenkt diese Daten im Darknet. heise security liegt der Datensatz vor.
Weiterlesen »
Viele Deutsche nutzen nachlässige PasswörterEine Bitkom-Umfrage zeigt, dass ein Drittel der Befragten in Deutschland dasselbe Passwort für verschiedene Dienste verwendet. Rund ein Viertel wählt bewusst einfache Passwörter. Experten raten zu komplexen Passwörtern und der Nutzung von Zwei-Faktor-Authentifizierung oder Passkeys.
Weiterlesen »