Sie haben eine Sicherheitslücke entdeckt?

Teilen Sie Ihre Erfahrung mit uns.

Sie haben jederzeit die Möglichkeit, uns über Sicherheitslücken bei unseren Produkten zu informieren. 

Richtlinie für die Reaktion auf Schwachstellen

Das Ziel der Untis GmbH ist qualitativ hochwertige Software zu erstellen und seinen Kunden sichere und funktionale Software anzubieten. Um Risiken zu minimieren, Schwachstellen schnell zu erkennen und zu beseitigen, haben wir einen Prozess zur Meldung für externe Personen etabliert.

 

Melden einer Schwachstelle

Wenn Sie eine Schwachstelle in einem Produkt oder auf den Webseiten von uns gefunden haben, melden Sie diese bitte umgehend an webuntis-security(at)untis.at

Bei der Meldung bitten wir Sie, entsprechende Informationen so detailliert wie möglich an uns zu übermitteln, sodass wir den Sachverhalt und die potentielle Schwachstelle nachvollziehen und verstehen können.

Folgende Informationen sind hierfür relevant:

  • Name und Versionsnummer der Software (bzw. des Links)
  • Ggf. Rolle/Berechtigung der Benutzer*in
  • Typ und/oder Klasse der Schwachstelle (XSS, Pufferüberlauf, RCEetc.)
  • Schritt-für-Schritt-Anleitung zur Nachvollziehung der Schwachstelle
  • Proof of Concept- oder Exploit-Code
  • Vorbedingungen zur Ausnutzung der Schwachstelle (z.B. angemeldeter Benutzer; ohne Anmeldung; etc.)
  • Mögliche Auswirkung der Schwachstelle

Entsprechend unserem Release-Zyklus werden wir Testinstanzen der Security-Community zur Verfügung stellen. Details dazu werden über etablierte Plattformen veröffentlicht.

 

Umgang mit Schwachstellenberichten

Uns ist eine gute Beziehung zu Sicherheitsforscher*innen und Finder*innen bzw. Melder*innen von Schwachstellen sehr wichtig. 

Wir bitten Sie, sich an die Rahmenbedingungen einer verantwortlichen Meldung zu halten und uns die notwendige Zeit zur Beurteilung und Beseitigung von Fehlern und Schwachstellen zu geben. Dies bedeutet, dass eine Veröffentlichung erst nach Beseitigung der gemeldeten Schwachstelle erfolgen soll.

Wir bemühen uns, die Lösung oder Korrekturmaßnahme so schnell wie möglich bereitzustellen. Die Reaktionszeiten hängen von vielen Faktoren ab: Schweregrad, Komplexität der Korrektur, betroffene Komponenten etc.

Korrekturmitteilung

Alle Updates und Patches werden in den entsprechenden Release Notes an unsere Kunden kommuniziert. Hierfür werden folgende Informationen zur Verfügung gestellt:

  • Der Schweregrad für die Sicherheitslücke; CVSS-Bewertung
  • Kurze Beschreibung der Schwachstelle und der möglichen Auswirkung, wenn sie ausgenutzt wird
  • Korrekturdetails mit Informationen zum Update/Workaround
  • Danke an die Person, die die Schwachstelle gefunden und gemeldet hat

 

Zusätzliche Informationen zur Offenlegung

Es widerspricht der Richtlinie von Untis GmbH, Details von Schwachstellen bereitzustellen, die über das hinausgehen, was in den oben genannten Informationsquellen enthalten ist.

 

Benachrichtigen von Untis GmbH über sonstige Sicherheitsprobleme

Wenn Sie ein anderes Sicherheitsproblem an uns melden wollen, nutzen Sie bitte die unten aufgeführten Kontaktdaten:

SicherheitsproblemKontaktdatenMelden einer Sicherheitslücke oder eines Sicherheitsproblems in der Webanwendung oder einer anderen Anwendung der Untis GmbH.Verwenden Sie bitte folgende E-Mail-Adresse: webuntis-security(at)untis.atSenden datenschutzbezogener Anforderungen oder Fragen.Verwenden Sie bitte folgende E- Mail-Adresse: datenschutz(at)untis.at


Haftungsausschluss

Alle Aspekte der Untis GmbH Richtlinie zur Reaktion auf Schwachstellen können ohne Vorankündigung und fallabhängig geändert werden. Die Reaktion auf ein bestimmtes Problem oder eine bestimmte Problemkategorie wird nicht garantiert. Ihre Nutzung der Informationen in diesem Dokument oder der mit dem Dokument verknüpften Materialien geschieht auf eigene Gefahr. Die Untis GmbH behält sich das Recht vor, dieses Dokument jederzeit und ohne Vorankündigung zu ändern oder zu aktualisieren.

Auf unserer Sicherheitsinformationsseite können Sie mehr über die Sicherheit bei Untis erfahren.