Sicherheitsinformationen

Diese Seite enthält unsere Sicherheitsrichtlinien und Informationen zu gemeldeten Sicherheitslücken. Erfahre, wieso Nextcloud die größtmögliche Sicherheit im Bereich der Dateiübertragung und -synchronisation in der Open Source Branche bietet. Du kannst unsere Ratschläge über RSS abonnieren.

Für Besitzer von Servern gibt es in unserer Dokumentation einen Abschnitt über bewährte Verfahren und Tipps zur Sicherung eines Nextcloud Servers.

Wenn Du im Hinblick auf Nextcloud eine Sicherheitslücke festgestellt hast, lies bitte unsere Richtlinien und kontaktiere uns auf hackerone.com/nextcloud.  Dein Bericht sollte Folgendes beinhalten:

  • Produktversion
  • Beschreibung der Schwachstelle
  • Schritte, um diese zu reproduzieren

Ein Mitglied unseres Sicherheitsteams wird die gemeldete Schwachstelle überprüfen, ihre Auswirkungen feststellen und sie anschließend beheben. Das Update wird auf den Master Branch angewendet, getestet und im nächsten Sicherheitsrelease veröffentlicht. Die Schwachstelle wird nach Ausrollen des Updates bekanntgegeben. Zum Schluss wird Dein Name in unsere "Hall of Fame" aufgenommen - als Dankeschön von der gesamten Nextcloud Community. Bitte beachte unser Bedrohungsmodell, um mehr zu erfahren.

PGP Schlüssel für Einreichungen

Um Schwachstellen auf sichere Art und Weise übermitteln zu können, stellen wir folgenden PGP Schlüssel zur Verfügung:

  • Key ID: A724937A
  • Fingerprint: 2880 6A87 8AE4 23A2 8372 792E D758 99B9 A724 937A

Wir empfehlen jedoch, die durch HackerOne übermittelten Informationen nicht zu verschlüsseln, da nur ein kleiner Teil des Teams Zugriff auf diesen Schlüssel hat.

Richtlinien für verantwortungsvolle Offenlegung

Die Nextcloud Community bittet darum, folgende Richtlinien bei der Feststellung und Übermittelung von Sicherheitslücken zu beachten:

  • Bitte teste nur über die Nextcloud Installation auf Deinem eigenen Server
  • Stelle fest, ob die Schwachstelle sich auf eine unterstützte Produktversion bezieht
  • Teile die Details der entdeckten Schwachstelle nur dem Nextcloud Sicherheitsteam mit
  • Gebe dem Sicherheitsteam Zeit, auf Deine Meldung zu reagieren
  • Veröffentliche keine Informationen hinsichtlich der Schwachstelle, bis Nextcloud sie der Community gegenüber bekanntgegeben hat

Unterstützte Produktversionen

Nextcloud Server:

  • Neueste 12.x Release
  • Neuestes 11.x Release

Der Zeitplan für neue Versionen gibt es auf GitHub. Bitte beachte auch, wann der Support für die jeweilige Version ausläuft.

Wenn Du eine Version weiternutzen möchten, die bereits nicht mehr unterstützt wird, kontaktiere bitte die Nextcloud für einen verlängerten Support-Zeitraum.

Nextcloud Android App: