Sicherheitsinformationen

Auf dieser Seite findest du unsere Sicherheitsrichtlinien und Informationen zur Meldung von Sicherheitslücken. Erfahre mehr darüber, wie Nextcloud die beste Sicherheit in der Open-Source-Dateisynchronisation und -Freigabe Industrie bietet. Du kannst unsere Ratschläge über RSS abonnieren.

Für Besitzer von Servern gibt es in unserer Dokumentation einen Abschnitt über bewährte Verfahren und Tipps zur Sicherung eines Nextcloud Servers.

Wenn du ein Sicherheitsproblem mit Nextcloud entdeckt hast, lies bitte unsere Richtlinien zur verantwortungsvollen Offenlegung und kontaktiere uns unter hackerone.com/nextcloud. Dein Bericht sollte Folgendes enthalten:

  • Produktversion
  • Beschreibung der Schwachstelle
  • Schritte, um diese zu reproduzieren

Ein Mitglied des Sicherheitsteams wird die Schwachstelle bestätigen, ihre Auswirkungen bestimmen und eine Lösung entwickeln. Der Fix wird auf den Masterbranch angewendet, getestet und im nächsten Sicherheitsrelease ausgeliefert. Die Sicherheitslücke wird nach der Veröffentlichung öffentlich bekannt gegeben. Schließlich wird dein Name als Dankeschön der gesamten Nextcloud-Community in die Hall of Fame aufgenommen. Beachte unser Bedrohungsmodell, um zu erfahren, was erwartetes Verhalten ist.

PGP Schlüssel für Einreichungen

Um die sichere Einreichung von Sicherheitsproblemen zu erleichtern, stellen wir den folgenden PGP-Schlüssel für die vertrauliche Einreichung zur Verfügung:

  • Key ID: A724937A
  • Fingerprint: 2880 6A87 8AE4 23A2 8372 792E D758 99B9 A724 937A

Wir empfehlen jedoch, die durch HackerOne übermittelten Informationen nicht zu verschlüsseln, da nur ein kleiner Teil des Teams Zugriff auf diesen Schlüssel hat.

Richtlinien für verantwortungsvolle Offenlegung

Die Nextcloud Community bittet darum, folgende Richtlinien bei der Feststellung und Übermittelung von Sicherheitslücken zu beachten:

  • Bitte teste nur über die Nextcloud Installation auf Deinem eigenen Server
  • Stelle fest, ob die Schwachstelle sich auf eine unterstützte Produktversion bezieht
  • Teile die Details der entdeckten Schwachstelle nur dem Nextcloud Sicherheitsteam mit
  • Gebe dem Sicherheitsteam Zeit, auf Deine Meldung zu reagieren
  • Veröffentliche keine Informationen hinsichtlich der Schwachstelle, bis Nextcloud sie der Community gegenüber bekanntgegeben hat

Unterstützte Produktversionen

Nextcloud Server:

  • Neueste 12.x Release
  • Neuestes 11.x Release

Unseren Wartungs- und Release-Terminplan findest du auf GitHub. Bitte wirf einen Blick in die End of Life-Rubrik.

Wenn du weiterhin Versionen verwenden möchtest, die das Ende ihrer Lebensdauer erreicht haben, bitten wir dich, die folgenden Punkte zu beachten kontaktiere den Nextcloud-Vertrieb um Zugang zu unserem Langzeit-Support zu erhalten.

Nextcloud Android App: