Univention Security Policy

Wir empfehlen, Sicherheitsprobleme per verschlüsselter E-Mail zu melden. Dafür bieten wir security.txt, Informationen unter https://securitytxt.org, sowie Web Key Directory (WKD) als Kommunikationsmittel an.

gpg --auto-key-locate clear,wkd,nodefault --locate-keys security[at]univention.de

Alternativ können Sie den Key hier herunterladen. Wir freuen uns über eine verantwortungsvolle Offenlegung von Schwachstellen Ihrerseits, die entweder unsere Produkte Univention Corporate Server und UCS@school oder unsere Online-Webdienste betreffen.

Eine kurze Zusammenfassung des Angriffsszenarios hilft uns, den Umfang einer Schwachstelle zu beurteilen. Sie hilft uns bei der Beantwortung von Fragen wie

• Wie kann die Schwachstelle ausgenutzt werden? Ein Blick auf die CVSS Base Score Matrix (siehe z.B. https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator) kann hilfreich sein, um Aspekte wie Angriffsvektor, erforderliche Berechtigungen usw. zu berücksichtigen.
• Wer wäre in der Lage, die jeweilige Schwachstelle auszunutzen?

Vielen Dank für die Berücksichtigung dieser Hinweise.

GPG-keyID: 0x2A5E8D1842C305FF
Key fingerprint: 9858 ED38 DF00 78C0 1F09 2E51 2A5E 8D18 42C3 05FF