BSI analysiert Open Source Software Nextcloud auf Sicherheitslücken und findet mehrere Schwachstellen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Open-Source-Kollaborationssoftware Nextcloud einer umfassenden Sicherheitsprüfung unterzogen. Dabei wurden mehrere Schwachstellen identifiziert, die dem Entwicklungsteam gemeldet wurden. Dieses reagierte umgehend und setzte Maßnahmen zur Behebung der Sicherheitslücken um. Die Analyse erfolgte im Rahmen des Projekts „Codeanalyse von Open Source Software“ (CAOS 3.0).
Inhaltsverzeichnis

Untersuchung von Nextcloud durch das BSI
Im Rahmen der Sicherheitsüberprüfung hat das BSI gemeinsam mit der mgm security partners GmbH den Quellcode von Nextcloud untersucht. Ziel war es, mögliche Schwachstellen und Sicherheitsrisiken zu identifizieren, die von Cyberkriminellen ausgenutzt werden könnten. Neben der Hauptanwendung wurden auch mehrere Erweiterungen geprüft, darunter:
-
- Two-Factor Admin Support
- Two-Factor Email
- Two-Factor TOTP Provider
- Two-Factor Webauthn
Das Projekt CAOS unterstützt Entwickler dabei, potenzielle Schwachstellen frühzeitig zu erkennen und zu beheben. Cyberangriffe entstehen häufig durch Fehler im Quellcode, weshalb eine regelmäßige Analyse von Open-Source-Software essenziell ist.
Vorgehensweise und Ergebnisse der Analyse
Die Prüfung umfasste verschiedene Methoden der Sicherheitsanalyse, darunter:
-
- Sourcecode-Review: Manuelle Überprüfung des Programmcodes
- Dynamische Analyse: Test der Software im laufenden Betrieb
- Schnittstellenanalyse: Untersuchung von Netzwerkschnittstellen, Protokollen und Standards
Die gefundenen Schwachstellen wurden den Entwicklern im Rahmen eines Responsible-Disclosure-Verfahrens gemeldet. Dieses Verfahren stellt sicher, dass Sicherheitslücken nicht sofort öffentlich bekannt werden, sondern Entwicklern genügend Zeit zur Behebung bleibt.
Ziel des CAOS-Projekts
Das BSI hat das Projekt „Codeanalyse von Open Source Software“ (CAOS) bereits im Jahr 2021 gestartet. Ziel ist es, die Sicherheit von Open-Source-Software zu verbessern und das Vertrauen in diese Anwendungen zu stärken. Dabei liegt der Fokus insbesondere auf Softwarelösungen, die von Behörden oder Privatpersonen häufig genutzt werden.
Mit dem Nachfolgeprojekt CAOS 3.0 setzt das BSI diese Bemühungen fort. Die Ergebnisse der Sicherheitsanalysen werden nach einer angemessenen Frist veröffentlicht, sodass Entwickler und Nutzer gleichermaßen informiert sind.
Weitere Sicherheitsanalysen geplant
Die Analyse von Nextcloud ist Teil einer langfristigen Strategie zur Verbesserung der IT-Sicherheit. In Zukunft sind weitere Untersuchungen von Open-Source-Anwendungen geplant. Die Ergebnisse werden nach dem Responsible-Disclosure-Prinzip auf der Webseite des BSI veröffentlicht.
Durch Projekte wie CAOS trägt das BSI dazu bei, die Sicherheit von Open-Source-Software kontinuierlich zu erhöhen und potenzielle Risiken frühzeitig zu minimieren.
- BSI analysiert Open Source Software Nextcloud auf Sicherheitslücken und findet mehrere Schwachstellen - 5. Februar 2025
- Amazon Easy Ship: Einführung der neuen Versandoption in Europa zunächst für Händler in Polen und den Niederlanden - 5. Februar 2025
- Fulfilled by TikTok (FBT) könnte bald nach Deutschland kommen - 5. Februar 2025