於香港發現存有漏洞的 ownCloud/Nextcloud 私有雲設施

HKCERT 收到德國聯邦協調中心 CERT-Bund 的報告，指在香港寄存的 ownCloud 及 Nextcloud 雲端設施存在漏洞。

ownCloud 及 Nextcloud 一般用於私人安裝及運行的雲端設施（私有雲），提供數據同步及共享。Nextcloud 公司對於可透過互聯網公開存取的 ownCloud 及 Nextcloud 進行掃描，發現很多仍在使用有漏洞或過時的版本，可導致資料外洩或整個雲端設施被攻擊者入侵控制。Nextcloud 向 CERT-Bund 提供掃描結果，後者再把與香港相關的設施資料轉介 HKCERT 處理。

HKCERT 已向設施負責人的 ISP 發出通知，並促請他們儘早提醒客戶處理。若你收到 ISP 通知，請即採取措施加強保護雲端設施。我們亦於通知 ISP 時提供關於檢查掃描結果的步驟，請根據步驟檢視閣下設施現存的保安問題。

以下是加強 ownCloud 及 Nextcloud 保安的相關資料：

• https://owncloud.org/security/
• https://nextcloud.com/security/