Vor etwa einem Jahr berichteten wir von den durch SysEleven entwickelten Nextcloud-Tools, die in der Zwischenzeit einigen Nextcloud-Betreibern dabei geholfen haben, ihre verschlüsselten Dateien zu retten. Die Werkzeugsammlung wurde inzwischen um das Rescue-Skript decrypt-all-files.php ergänzt, das die Datenrettung noch einfacher gestaltet als zuvor.
Doch auch abseits dieser Bemühungen waren wir damit beschäftigt, die Verschlüsselung von Nextcloud besser und sicherer zu machen. Im Zuge ihrer Analysen fand unser internes Security-Team mehrere Schwachstellen in der serverseitigen Verschlüsselung von Nextcloud, die als Default-Erweiterung mit jeder Installation ausgeliefert wird. Für jede gefundene Schwachstelle erarbeitete das Team einen Proof-of-Concept und reichte die Informationen anschließend über die Plattform HackerOne an die Nextcloud-Entwickler weiter.
Nun, teils über ein Jahr später, wurden alle der gefundenen Probleme behandelt. Die Schwachstellen sind als CVE-2020-8133, CVE-2020-8150, CVE-2020-8152 und CVE-2020-8259 veröffentlicht worden. Als Teil der Aufarbeitung wurde darüber hinaus das kostenfrei erhältliche Whitepaper „Cryptographic Vulnerabilities and Other Shortcomings of the Nextcloud Server Side Encryption as implemented by the Default Encryption Module„ verfasst, in dem die Grundlagen der serverseitigen Verschlüsselung und die Details zu den gefundenen Schwachstellen beschrieben werden.
Wir als SysEleven sind stolz, eine ganze Reihe von IT-Experten im Unternehmen zu haben, die sich bis auf Design- und Codeebene in Anwendungen einarbeiten, Probleme finden und beheben können. Als aktiver Nutzer von Open-Source-Software geben wir im Anschluss auch gern unser Wissen und unsere Erkenntnisse an die Community zurück.
