Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN

Wie Sie eine Schwachstelle in ownCloud sicher melden

So melden Sie eine Sicherheitslücke in ownCloud sicher. Erfahren Sie, wie Sie eine Sicherheitslücke über offizielle Kanäle wie VDP oder Bug Bounty an ownCloud melden. Beachten Sie die Richtlinien und reichen Sie detaillierte Berichte ein.

Startseite Glossar Wie Sie eine Schwachstelle in ownCloud sicher melden

Richtlinie zur Offenlegung von Sicherheitslücken

ownCloud — ein Unternehmen von Kiteworks

Die Sicherheit von ownCloud und seiner Nutzer ist eine zentrale Verantwortung.
Wir betreiben eine formelle Richtlinie zur Offenlegung von Schwachstellen sowie ein Bug-Bounty-Programm, um sicherzustellen, dass Sicherheitsprobleme effektiv erkannt, gemeldet und behoben werden.

Wie Sie eine Sicherheitslücke melden

Wie Sie eine Sicherheitslücke melden

Melden Sie Sicherheitslücken über unsere offiziellen Kanäle:

Melden Sie Sicherheitslücken nicht über öffentliche GitHub-Issues, Forenbeiträge oder soziale Medien. Die öffentliche Bekanntgabe ungepatchter Schwachstellen gefährdet Nutzer und disqualifiziert Meldungen für das Bug-Bounty-Programm.

Was Sie in Ihrem Bericht angeben sollten

Ein hilfreicher Bericht zu einer Schwachstelle enthält mindestens:

  • Eine klare Beschreibung der Schwachstelle und ihrer potenziellen Auswirkungen.
  • Das betroffene Produkt und die Version (oCIS, Desktop Client, Android, iOS oder ownCloud Server 10.x).
  • Schritte zur Reproduktion des Problems, idealerweise mit Proof of Concept.
  • Ihre Einschätzung der Schwere (wenn möglich mit CVSS-Score).

Je mehr Details Sie bereitstellen, desto schneller können wir das Problem bewerten und beheben.

Was Sie in Ihrem Bericht angeben sollten
Unser Versprechen an Sie

Unser Versprechen an Sie

Wenn Sie eine Schwachstelle über unsere offiziellen Kanäle melden, verpflichten wir uns zu Folgendem:

  • Bewertung. Ein Mitglied des ownCloud-Sicherheitsteams prüft die Schwachstelle, bewertet die Auswirkungen und stuft die Schwere ein.
  • Behebung. Wir entwickeln und testen einen Fix, wenden ihn auf die relevanten Branches an und stellen ihn im nächsten Sicherheits-Release bereit. Bei kritischen Problemen veröffentlichen wir gegebenenfalls ein außerplanmäßiges Update.

Verhaltensregeln

Wir bitten Sicherheitsforscher, folgende Richtlinien zu beachten:

  • Testen Sie Schwachstellen ausschließlich auf Ihrer eigenen ownCloud-Installation.
  • Greifen Sie nicht auf Daten anderer Nutzer zu, verändern oder löschen Sie diese nicht.
  • Führen Sie keine Denial-of-Service-Angriffe gegen die ownCloud-Infrastruktur durch.
  • Veröffentlichen Sie Details zu Schwachstellen erst, nachdem ownCloud einen Fix und eine öffentliche Warnung herausgegeben hat.
  • Geben Sie dem Sicherheitsteam ausreichend Zeit zur Reaktion und Behebung.
  • Wenn Sie unsicher sind, ob etwas im Geltungsbereich liegt, fragen Sie uns vorab unter security@owncloud.com.
Verhaltensregeln
Bug-Bounty-Programm

Bug-Bounty-Programm

Unser Bug-Bounty-Programm auf YesWeHack belohnt Sicherheitsforscher für qualifizierte Schwachstellen entsprechend ihrer Schwere. Die Einstufung der Schwere erfolgt nach Ermessen des ownCloud-Sicherheitsteams. Prämien werden über die YesWeHack-Plattform ausgezahlt. Schwachstellen, die Administratorrechte erfordern (CVSS PR:H), werden in der Regel höchstens als „hoch“ eingestuft, es sei denn, sie sind mit einer Rechteausweitung kombiniert.

Nicht im Geltungsbereich

Folgende Themen sind in der Regel vom Bug-Bounty-Programm ausgeschlossen:

  • Netzwerkbasierte Angriffe (DDoS, MitM ohne Auswirkungen auf die Anwendungsebene).
  • Social Engineering oder Phishing-Angriffe auf ownCloud-Mitarbeiter.
  • Probleme in Drittanbieter-Anwendungen, die nicht von ownCloud betreut werden (melden Sie diese beim jeweiligen Anbieter).
  • Fehlende Sicherheits-Header ohne nachweisbare Auswirkungen.
  • Fehlkonfigurationen bei SPF/DKIM/DMARC.
  • Sitzungsablauf-Richtlinien.
  • Berichte von automatisierten Scannern ohne validierten Proof of Concept.
Nicht im Geltungsbereich
Supply-Chain- und Abhängigkeits-Schwachstellen

Supply-Chain- und Abhängigkeits-Schwachstellen

Wenn Sie eine Schwachstelle in einer von ownCloud genutzten Abhängigkeit entdecken – etwa in einer Bibliothek, einem Container-Image oder Build-Tool – melden Sie diese bitte über unsere Standardkanäle. Wir stimmen die Offenlegung gegebenenfalls mit dem jeweiligen Maintainer ab.

ownCloud überwacht seine Lieferkette durch automatisierte Scans und pflegt einen SBOM-(Software Bill of Materials)-Prozess.

Kontakt

  • VDP / Bug Bounty: security.owncloud.com / YesWeHack
  • Sicherheitsteam E-Mail: security@owncloud.com
  • OSPO-Kontakt: ospo@kiteworks.com
Kontakt

Häufig gestellte Fragen

Sie können Sicherheitslücken über die offiziellen Kanäle von ownCloud melden: die VDP-Plattform unter security.owncloud.com, das Bug-Bounty-Programm auf YesWeHack oder per E-Mail an security@owncloud.com für Themen außerhalb des Bug-Bounty-Programms. Vermeiden Sie eine öffentliche Offenlegung auf Plattformen wie GitHub, Foren oder sozialen Medien, um die Nutzer zu schützen und Ihre Teilnahmeberechtigung am Bug-Bounty-Programm zu wahren.

Ein hilfreicher Bericht zu einer Sicherheitslücke enthält eine klare Beschreibung der Schwachstelle und ihrer potenziellen Auswirkungen, das betroffene Produkt und die Version (z. B. oCIS, Desktop Client, Android, iOS oder ownCloud Server 10.x), eine Schritt-für-Schritt-Anleitung zur Reproduktion des Problems, möglichst mit Proof of Concept, sowie Ihre Einschätzung der Schwere, etwa als CVSS-Score. Detaillierte Angaben beschleunigen die Bearbeitung und Lösung.

ownCloud verpflichtet sich, jede gemeldete Sicherheitslücke zu prüfen, indem ein Mitglied des Security-Teams die Auswirkungen bewertet und die Schwere einstuft. Anschließend wird eine Lösung entwickelt, getestet, auf die relevanten Branches angewendet und im nächsten Security-Release veröffentlicht oder bei kritischen Problemen ein außerplanmäßiges Update bereitgestellt.

Sicherheitsforscher müssen folgende Richtlinien beachten: Testen Sie Schwachstellen ausschließlich auf Ihrer eigenen ownCloud-Installation, greifen Sie nicht auf Daten anderer Nutzer zu und verändern Sie diese nicht, führen Sie keine Denial-of-Service-Angriffe auf die ownCloud-Infrastruktur durch, veröffentlichen Sie keine Details zu Schwachstellen, bevor ein Fix und eine Advisory bereitgestellt wurden, gewähren Sie ownCloud eine angemessene Frist zur Reaktion und Behebung und kontaktieren Sie security@owncloud.com, falls Sie unsicher bezüglich des Umfangs sind.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks