Nextcloud ist eine freie Software zum Speichern von Dateien auf selbst-gehosteten Servern. Sie wird u. a. von der “Bundescloud” oder Siemens genutzt. Nextcloud ermöglicht es, den Zugriff auf Dateien zu beschränken. Hierzu gibt es die sogenannte Dateizugriffskontrolle (file access control). In bestimmten Konstellationen verhält sich die Dateizugriffskontrolle aber nicht so wie erhofft. Nextcloud prüft vor der Version 17.0.2 nicht nach dem Dateinhalt, sondern wandelt den vom Admin angegebenen MIME-Typ lediglich in die entsprechende Dateiendung um. Der Admin konfiguriert beispielsweise in der Dateizugriffskontrolle, dass Anfragen geblockt werden, wenn sie folgender Bedingung entsprechen:
Hiernach müßte Nextcloud in die Datei sehen und wenn es sich um eine Excel-Datei handelt, wird die Anfrage zugelassen. Aber Nextcloud prüft nicht den Dateiinhalt, sondern wandelt in der Version vor Version 17.0.2 diese Regel in “Dateiendung entspricht nicht .xls/.xla” um. So läßt sich die Dateizugriffskontrolle umgehen, indem ein Nextcloud-Benutzer einfach die Dateiendung ändert. Wenn ein Nextcloud-Benutzer bei aktiver Dateizugriffskontrolle Dateien beliebigen Inhalts uploaden möchte, ändert dieser einfach die Dateiendung in diesem Beispiel in xls.
Ende des letzten Jahres habe ich es Nextcloud mitgeteilt. Die Entwickler haben den Quellcode am 04.12.2019 mit Version 17.0.2 geändert.
Hier der Verweis zum Security Advisory von Nextcloud:
https://nextcloud.com/security/advisory/?id=NC-SA-2020-002
Der Report bei HackerOne:
https://hackerone.com/reports/697959
Mittlerweile gibt es eine CVE-Nummer:
https://nvd.nist.gov/vuln/detail/CVE-2019-15613
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15613
Falls also die Dateizugriffskontrolle von Nextcloud eingesetzt und nach Dateien bestimmten MIME-Typs geblockt wird, sollte IMHO (mindestens aus diesem Grunde) Nextcloud upgedatet werden.