OpenCloud-Entwickler finden Schwachstelle mit hohem Schweregrad – Patch verfügbar
Unser Security-Team von OpenCloud hat eine Schwachstelle bei Public Links entdeckt und diese mit CVSS 8.2 (High) bewertet. Diese Schwachstelle ist ursprünglich im Code von ownCloud (Kiteworks) entstanden und war so auch im OCIS-Fork von OpenCloud enthalten.
Das Team hat, wie im Open Source-Umfeld üblich, im Vorfeld sowohl das CERN als auch ownCloud (Kiteworks) informiert, deren Software in Teilen auf der gleichen Codebase wie OpenCloud basiert. So konnte sichergestellt werden, dass alle Betroffenen ihre Codebase überprüfen und Kundeninstallationen, wie beispielsweise die BayernCloud Schule (ByCS), schützen konnten.
Heute machen wir diese Schwachstelle nun öffentlich und stellen einen wichtigen Patch für OpenCloud zur Verfügung.
Der Fund wurde von uns nach Responsible-Disclosure-Prinzipien behandelt. Unsere Kunden mit Enterprise-Lizenz waren über ihre Subscription zu jeder Zeit geschützt. Wir stellen hier sicher, dass jeder Kunde informiert ist und den nötigen Support zur schnellen Absicherung und den Updates erhält. Bei Fragen steht unser Support-Team unseren Kunden gern weiterhin zur Verfügung.
Betroffene Versionen
Alle OpenCloud-Instanzen unterhalb der Version 4.0.3 sowie alle Instanzen unter der 5.0.2 sind betroffen. Die gepatchten Versionen sind 4.0.3 und 5.0.2.
Sicherheits-Patch verfügbar
Mit der Veröffentlichung der Schwachstelle heute, stellen wir auch den Patch öffentlich online. Wir empfehlen, das Update sehr zeitnah einzuplanen und einzuspielen, um die Sicherheit Ihrer Daten zu gewährleisten.
→ Die aktuelle Patch-Version finden Sie im Advisory
Sofort-Maßnahme bis der Patch eingespielt ist
- Deaktivieren Sie auf Ihren Instanzen die Public Links, wenn Sie den Patch nicht sofort einspielen können.
- Nehmen sie folgende Konfiguration vor:
- Konfigurationsanpassung
- Docker Compose: Editieren Sie die docker-compose.yml und setzen Sie GATEWAY_STORAGE_PUBLIC_LINK_ENDPOINT="" (leerer string wert) in der "environment" Sektion des "opencloud" containers.
- Kubernetes: Editieren Sie die das deployment opencloud-api und setzen Sie name: GATEWAY_STORAGE_PUBLIC_LINK_ENDPOINT
value: "" (leerer string)
im "env" Bereich der "spec" des containers "api".
- Konfigurationsanpassung
- Überprüfen Sie, dass die Abschwächung aktiv ist und führen Sie folgenden Test aus:
- Erzeugen Sie testweise einen öffentlichen Link
- Öffnen Sie den Link in einem privaten (kein aktiver Login) Browser Tab.
- Sie sehen eine Fehlerseite mit der Meldung “Datei nicht gefunden”
- Informieren Sie Ihr IT-Team und relevante Stakeholder
Patch-Installation
- Die öffentliche Patch-Version steht seit heute, 05.02.2026, zur Verfügung (zu finden im Advisory)
- Planen Sie Ihr Wartungsfenster, stellen Sie Ihre Backups sicher, bereiten Sie Ihre Test-/Staging-Umgebung vor
- Laden Sie die Patch-Version 4.0.3 herunter
- Testen Sie den Patch in Ihrer Test-Umgebung
- Führen Sie die Patch-Installation in der Produktivumgebung durch
- Verifizieren Sie die erfolgreiche Installation
- Entfernen Sie ggf. die temporäre Sicherheitskonfiguration
Für weitere Informationen, schauen Sie auch gern in unsere Release Notes und lesen Sie unseren Blog „Schwachstellen im Code: Warum Transparenz und Enterprise-Lizenzen Sicherheit bringen“
