Hoe meld je een kwetsbaarheid in ownCloud op een veilige manier
Hoe meld je een kwetsbaarheid in ownCloud op een veilige manier.
Hoe meld je een kwetsbaarheid in ownCloud op een veilige manier.
Ontdek hoe je een beveiligingskwetsbaarheid bij ownCloud kunt melden via officiële kanalen zoals VDP of Bug Bounty. Volg de richtlijnen en dien gedetailleerde rapporten in.
Beleid voor het melden van beveiligingsproblemen
ownCloud — een Kiteworks-bedrijf
De beveiliging van ownCloud en haar gebruikers is een kerntaak.
We hanteren een formeel beleid voor het melden van kwetsbaarheden en een Bug Bounty Programma om ervoor te zorgen dat beveiligingsproblemen effectief worden geïdentificeerd, gemeld en opgelost.
Hoe meld je een kwetsbaarheid
Meld beveiligingskwetsbaarheden via onze officiële kanalen:
- VDP Platform: security.owncloud.com
- Bug Bounty Programma: ownCloud op YesWeHack (yeswehack.com/programs/owncloud-bug-bounty-program)
- E-mail (voor zaken buiten de bug bounty scope): security@owncloud.com
Meld beveiligingskwetsbaarheden niet via openbare GitHub-issues, forumposts of sociale media. Openbare bekendmaking van niet-gepatchte kwetsbaarheden brengt gebruikers in gevaar en diskwalificeert meldingen voor het bug bounty programma.
Wat moet je opnemen in je melding
Een bruikbare kwetsbaarheidsmelding bevat minimaal:
- Een duidelijke omschrijving van de kwetsbaarheid en de mogelijke impact.
- Het getroffen product en de versie (oCIS, Desktop Client, Android, iOS of ownCloud Server 10.x).
- Stappen om het probleem te reproduceren, bij voorkeur met een proof of concept.
- Jouw inschatting van de ernst (indien mogelijk een CVSS-score).
Hoe meer details je verstrekt, hoe sneller wij het probleem kunnen beoordelen en oplossen.
Onze belofte aan jou
Wanneer je een kwetsbaarheid via onze officiële kanalen meldt, kun je het volgende van ons verwachten:
- Beoordeling. Een lid van het ownCloud-beveiligingsteam beoordeelt de kwetsbaarheid, bepaalt de impact en classificeert de ernst.
- Oplossing. We ontwikkelen en testen een oplossing, passen deze toe op de relevante branches en nemen deze op in de volgende beveiligingsrelease. Bij kritieke problemen kunnen we een tussentijdse release uitbrengen.
Gedragsregels
We vragen beveiligingsonderzoekers zich aan deze richtlijnen te houden:
- Test alleen kwetsbaarheden op je eigen installatie van ownCloud.
- Raak geen gegevens van andere gebruikers aan, wijzig of verwijder deze niet.
- Voer geen denial-of-service-aanvallen uit op de ownCloud-infrastructuur.
- Publiceer geen details over kwetsbaarheden voordat ownCloud een oplossing en een publieke waarschuwing heeft uitgebracht.
- Geef het beveiligingsteam voldoende tijd om te reageren en te herstellen.
- Twijfel je of iets binnen scope valt? Neem dan eerst contact op via security@owncloud.com.
Bug Bounty Programma
Ons bug bounty programma op YesWeHack beloont beveiligingsonderzoekers voor in aanmerking komende kwetsbaarheden op basis van ernst. De ernst wordt bepaald door het ownCloud-beveiligingsteam. Beloningen worden uitbetaald via het YesWeHack-platform. Kwetsbaarheden waarvoor beheerdersrechten nodig zijn (CVSS PR:H) worden doorgaans gemaximeerd op High severity, tenzij gecombineerd met privilege-escalatie.
Buiten Scope
De volgende zaken vallen doorgaans buiten de scope van ons bug bounty programma:
- Netwerkgerichte aanvallen (DDoS, MitM zonder impact op applicatieniveau).
- Social engineering of phishingaanvallen op ownCloud-medewerkers.
- Problemen in externe applicaties die niet door ownCloud worden beheerd (meld deze bij de betreffende beheerder).
- Ontbrekende beveiligingsheaders zonder aantoonbare impact.
- SPF/DKIM/DMARC-misconfiguraties.
- Beleid voor sessieverloop.
- Meldingen van geautomatiseerde scanners zonder gevalideerd bewijs van concept.
Kwetsbaarheden in toeleveringsketen en afhankelijkheden
Ontdek je een kwetsbaarheid in een afhankelijkheid die door ownCloud wordt gebruikt, zoals een bibliotheek, container image of build-tool, meld dit dan via onze standaardkanalen. We stemmen de melding indien nodig af met de oorspronkelijke ontwikkelaar.
ownCloud bewaakt haar toeleveringsketen via geautomatiseerde scans en hanteert een SBOM-proces (Software Bill of Materials).
Contact
- VDP / Bug Bounty: security.owncloud.com / YesWeHack
- E-mail beveiligingsteam: security@owncloud.com
- OSPO Contact: ospo@kiteworks.com
Veelgestelde vragen
Je kunt beveiligingslekken melden via de officiële kanalen van ownCloud: het VDP Platform op security.owncloud.com, het Bug Bounty Programma op YesWeHack, of per e-mail via security@owncloud.com voor kwesties buiten de bug bounty scope. Vermijd publieke bekendmaking op platforms zoals GitHub, forums of sociale media om gebruikers te beschermen en je geschiktheid voor het bug bounty programma te behouden.
Een bruikbaar kwetsbaarheidsrapport bevat een duidelijke omschrijving van het beveiligingslek en de mogelijke impact, het getroffen product en de versie (bijvoorbeeld oCIS, Desktop Client, Android, iOS of ownCloud Server 10.x), stappen om het probleem te reproduceren met indien mogelijk een proof of concept, en jouw inschatting van de ernst, zoals een CVSS-score. Het verstrekken van gedetailleerde informatie helpt bij een snellere triage en oplossing.
ownCloud verplicht zich ertoe het gemelde beveiligingslek te beoordelen door een lid van het beveiligingsteam de impact te laten evalueren en de ernst te classificeren. Vervolgens wordt er een oplossing ontwikkeld en getest, toegepast op de relevante branches en opgenomen in de volgende beveiligingsrelease, of wordt er bij kritieke problemen een tussentijdse release uitgebracht.
Security researchers moeten zich aan deze richtlijnen houden: test kwetsbaarheden alleen op je eigen ownCloud-installatie, vermijd toegang tot of wijziging van gegevens van andere gebruikers, voer geen denial-of-service-aanvallen uit op de ownCloud-infrastructuur, publiceer geen details over kwetsbaarheden voordat er een oplossing en advies zijn uitgebracht, geef voldoende tijd voor reactie en herstel, en neem contact op met security@owncloud.com als je twijfelt over de scope.