Merge pull request #208 from nextcloud/rel/nc30

Bump to NC 30

Author: blizzz

.github/workflows/docker.yml

@@ -29,24 +29,23 @@ jobs:
 
     steps:
       - name: Checkout repository
-        uses: actions/checkout@v3
+        uses: actions/checkout@11bd71901bbe5b1630ceea73d27597364c9af683 # v4.2.2
 
       # Install the cosign tool except on PR
       # https://github.com/sigstore/cosign-installer
       - name: Install cosign
         if: github.event_name != 'pull_request'
-        uses: sigstore/cosign-installer@v3.5.0
-
+        uses: sigstore/cosign-installer@3454372f43399081ed03b604cb2d021dabca52bb # v3.8.2
 
       # Workaround: https://github.com/docker/build-push-action/issues/461
-      - name: Setup Docker buildx
-        uses: docker/setup-buildx-action@79abd3f86f79a9d68a23c75a09a9a85889262adf
+      - name: Set up Docker Buildx
+        uses: docker/setup-buildx-action@b5ca514318bd6ebac0fb2aedd5d36ec1b5c232a2 # v3.10.0
 
       # Login against a Docker registry except on PR
       # https://github.com/docker/login-action
       - name: Log into registry ${{ env.REGISTRY }}
         if: github.event_name != 'pull_request'
-        uses: docker/login-action@28218f9b04b4f3f62068d7b6ce6ca5b26e35336c
+        uses: docker/login-action@74a5d142397b4f367a81961eba4e8cd7edddf772 #v3.4.0
         with:
           registry: ${{ env.REGISTRY }}
           username: ${{ github.actor }}
@@ -56,15 +55,15 @@ jobs:
       # https://github.com/docker/metadata-action
       - name: Extract Docker metadata
         id: meta
-        uses: docker/metadata-action@98669ae865ea3cffbcbaa878cf57c20bbf1c6c38
+        uses: docker/metadata-action@902fa8ec7d6ecbf8d84d538b9b233a880e428804 #v5.7.0
         with:
           images: ${{ env.REGISTRY }}/${{ env.IMAGE_NAME }}
 
       # Build and push Docker image with Buildx (don't push on PR)
       # https://github.com/docker/build-push-action
       - name: Build and push Docker image
         id: build-and-push
-        uses: docker/build-push-action@ac9327eae2b366085ac7f6a2d02df8aa8ead720a
+        uses: docker/build-push-action@471d1dc4e07e5cdedd4c2171150001c434f0b7a4 #v6.15.0
         with:
           context: .
           push: true

Dockerfile

@@ -22,17 +22,17 @@
 
 FROM ubuntu:24.04
 
-ADD https://download.nextcloud.com/server/releases/nextcloud-29.0.11.tar.bz2 /root/nextcloud.tar.bz2
-ADD https://github.com/nextcloud-releases/richdocuments/releases/download/v8.4.9/richdocuments-v8.4.9.tar.gz /root/richdocuments.tar.gz
-ADD https://github.com/ONLYOFFICE/onlyoffice-nextcloud/releases/download/v9.5.0/onlyoffice.tar.gz /root/onlyoffice.tar.gz
+ADD https://download.nextcloud.com/server/releases/nextcloud-30.0.15.tar.bz2 /root/nextcloud.tar.bz2
+ADD https://github.com/nextcloud-releases/richdocuments/releases/download/v8.5.10/richdocuments-v8.5.10.tar.gz /root/richdocuments.tar.gz
+ADD https://github.com/ONLYOFFICE/onlyoffice-nextcloud/releases/download/v9.10.0/onlyoffice.tar.gz /root/onlyoffice.tar.gz
 COPY resources/entrypoint.sh /usr/sbin/
 COPY resources/60-nextcloud.ini /etc/php/8.3/apache2/conf.d/
 COPY resources/60-nextcloud.ini /etc/php/8.3/cli/conf.d/
 COPY resources/000-default.conf /etc/apache2/sites-enabled/
 
 # uncomment and set to true if a patch nededs to be applied
-#COPY resources/19439.patch /root/nc.patch
-ENV NC_IS_PATCHED false
+COPY resources/55065.patch /root/nc.patch
+ENV NC_IS_PATCHED true
 
 RUN /bin/bash -c "export DEBIAN_FRONTEND=noninteractive" && \
     echo 'debconf debconf/frontend select Noninteractive' | debconf-set-selections && \
@@ -79,10 +79,8 @@ RUN a2enmod rewrite
 
 RUN cd /root/ && \
 	tar -xf "nextcloud.tar.bz2" && \
-	mv /root/nextcloud/* /var/www/html/ && \
-	mv /root/nextcloud/.htaccess /var/www/html/ && \
-	mv /root/nextcloud/.user.ini /var/www/html/ && \
-	rm -Rf /root/nextcloud && \
+    rm -Rf /var/www/html && \
+	mv /root/nextcloud /var/www/html && \
 	rm "nextcloud.tar.bz2" && \
 	cd /var/www/html/ && \
 	chmod +x occ && \
@@ -107,9 +105,9 @@ RUN /bin/bash -c "export DEBIAN_FRONTEND=noninteractive" && \
 	apt autoremove -y && apt clean
 
 # uncomment and adjust following block if a patch needs to be applied
-#RUN cd /var/www/html/ && \
-#    patch -p1 -t < /root/nc.patch && \
-#    rm /root/nc.patch
+RUN cd /var/www/html/ && \
+    patch -p1 -t < /root/nc.patch && \
+    rm /root/nc.patch
 
 EXPOSE 80
 

Makefile

@@ -18,8 +18,8 @@
 # along with this program.  If not, see <http://www.gnu.org/licenses/>.
 
 app_name=nextcloud
-app_version=29.0.11-0
-app_upgrade_from=28.0.14-0
+app_version=30.0.15-0
+app_upgrade_from=29.0.11-0
 
 ucs_version=5.0
 
@@ -59,7 +59,7 @@ push-files:
 		i18n/en/README_POST_UPDATE_EN \
 		i18n/de/README_POST_UPDATE_DE
 	univention-appcenter-control set --noninteractive $(ucs_version)/$(app_name)=$(app_version) \
-		--json '{"DockerImage": "ghcr.io/nextcloud/univention-app:$(app_version)", "UMCOptionsAttributes": "nextcloudEnabled", "WebInterface": "/nextcloud", "MinPhysicalRam": "512", "RequiredUcsVersion": "5.0-3", "SupportedUCSVersions": "5.0-3", "RequiredAppVersionUpgrade": "$(app_upgrade_from)"}'
+		--json '{"DockerImage": "ghcr.io/nextcloud/univention-app:$(app_version)", "UMCOptionsAttributes": "nextcloudEnabled", "WebInterface": "/nextcloud", "MinPhysicalRam": "512", "RequiredUcsVersion": "5.0-3", "SupportedUCSVersions": "5.0-3,5.2-0", "RequiredAppVersionUpgrade": "$(app_upgrade_from)"}'
 
 .PHONY: docker
 docker:

i18n/de/README_INSTALL_DE

@@ -2,5 +2,5 @@
 Nextcloud bietet die Möglichkeit, LDAP Gruppen aus UCS zu verwenden. Dies vereinfacht es zum Beispiel, Ordner für eine Gruppe von Leuten bereit zu stellen. Um eine bestimmte Gruppe einzubeziehen, können diese aus ihren erweiterten Einstellungen in UCS heraus für Nextcloud freigegeben werden. Um eine signifikant bessere Performance zu erhalten, sollte vor der Nextcloud-Installation das <a href="https://help.univention.com/t/memberof-attribute-group-memberships-of-user-and-computer-objects/6439" target="_blank">memberOf-Overlay</a> aktiviert werden. In Domänen, die mindestens mit UCS Version 4.3 installiert wurden, ist das memberOf-Overlay standardmäßig aktiviert.
 </p>
 <p>
-Falls im Host Webserver HTTP Strict Transport Security nicht eingeschaltet sein sollte, so ist diese Einrichtung zu empfehlen. Weitere Informationen dazu befinden sich in der <a href="https://docs.nextcloud.com/server/29/admin_manual/installation/harden_server.html#enable-http-strict-transport-security" target="_blank">Dokumentation</a>.
+Falls im Host Webserver HTTP Strict Transport Security nicht eingeschaltet sein sollte, so ist diese Einrichtung zu empfehlen. Weitere Informationen dazu befinden sich in der <a href="https://docs.nextcloud.com/server/30/admin_manual/installation/harden_server.html#enable-http-strict-transport-security" target="_blank">Dokumentation</a>.
 </p>

i18n/de/README_POST_INSTALL_DE

@@ -5,8 +5,8 @@
 <p>Im Bereich der <strong>Sicherheits- & Einrichtungswarnungen</strong> werden wahrscheinlich einige Hinweise angezeigt, mit der die Nextcloud-Installation verbessert werden kann. Diese Punkt können nicht im Rahmen der Nextcloud Integration für UCS erfolgen, stattdessen entscheidet der Administrator gegebenenfalls Schritte durchzuführen.
 <h3>"Strict-Transport-Security" HTTP header</h3>
 <p>Um den Dienst gegen Man-in-the-Middle Attacken zu härten, kann dieser Mechanismus aktiviert werden. Die SSL Terminierung erfolgt auf dem Reverse Proxy, typischer ein Apache2 Webserver auf dem Host. Die Konfiguration für die Domain(s) unter denen Nextcloud betrieben wird, muss dafür um einen HTTP Header ergänzt werden. Wenn diese Änderungen durchgeführt werden, wirken sie sich auf alle Dienste unterhalb der Domain aus.</p>
-<p>This <a href="https://docs.nextcloud.com/server/29/admin_manual/installation/harden_server.html#enable-http-strict-transport-security">Dokumentation erklärt wie HSTS eingerichtet wird</a>. Der <strong>includeSubDomains</strong>-Schalter ist notwendig.</p>
+<p>This <a href="https://docs.nextcloud.com/server/30/admin_manual/installation/harden_server.html#enable-http-strict-transport-security">Dokumentation erklärt wie HSTS eingerichtet wird</a>. Der <strong>includeSubDomains</strong>-Schalter ist notwendig.</p>
 <h3>Auflösung von "/.well-known/caldav|carddav" scheitert</h3
-<p>Das Auffinden von Adressbuch- und Kalenderdiensten kann für entsprechende Klienten vereinfacht werden, in dem solche well-known URLs verfügbar gemacht werden, die letztlich auf den tatsächlichen Dienst verweisen. Die anschlagende Überprüfung tested, ob unterhalb der Hauptdomain diese URLs vorhanden sind. Um diese bereit zu stellen muss auch hier der Webserver des Hosts <a href="https://docs.nextcloud.com/server/29/admin_manual/issues/general_troubleshooting.html#service-discovery">anhand dieser Dokumentation</a> angefasst werden.
+<p>Das Auffinden von Adressbuch- und Kalenderdiensten kann für entsprechende Klienten vereinfacht werden, in dem solche well-known URLs verfügbar gemacht werden, die letztlich auf den tatsächlichen Dienst verweisen. Die anschlagende Überprüfung tested, ob unterhalb der Hauptdomain diese URLs vorhanden sind. Um diese bereit zu stellen muss auch hier der Webserver des Hosts <a href="https://docs.nextcloud.com/server/30/admin_manual/issues/general_troubleshooting.html#service-discovery">anhand dieser Dokumentation</a> angefasst werden.
 <p>Es kann nur jeweils ein Dienst pro Domain verknüpft werden. Das Vorhandensein der URLs ist nicht kritisch für das Funktionieren der Nextcloud, erhöht aber den Komfort für einige Endnutzer.</p>
 <p>Diese Überprüfung ist während der Nextcloud 13 Serie eingeführt worden. In früheren Versionen wurde der Hinweis folglich nicht gezeigt.</p>

i18n/de/README_POST_UPDATE_DE

@@ -2,9 +2,9 @@
 <p>Im Bereich der <strong>Sicherheits- & Einrichtungswarnungen</strong> werden wahrscheinlich einige Hinweise angezeigt, mit der die Nextcloud-Installation verbessert werden kann. Diese Punkt können nicht im Rahmen der Nextcloud Integration für UCS erfolgen, stattdessen entscheidet der Administrator gegebenenfalls Schritte durchzuführen.
 <h3>"Strict-Transport-Security" HTTP header</h3>
 <p>Um den Dienst gegen Man-in-the-Middle Attacken zu härten, kann dieser Mechanismus aktiviert werden. Die SSL Terminierung erfolgt auf dem Reverse Proxy, typischer ein Apache2 Webserver auf dem Host. Die Konfiguration für die Domain(s) unter denen Nextcloud betrieben wird, muss dafür um einen HTTP Header ergänzt werden. Wenn diese Änderungen durchgeführt werden, wirken sie sich auf alle Dienste unterhalb der Domain aus.</p>
-<p>This <a href="https://docs.nextcloud.com/server/29/admin_manual/installation/harden_server.html#enable-http-strict-transport-security">Dokumentation erklärt wie HSTS eingerichtet wird</a>. Der <strong>includeSubDomains</strong>-Schalter ist notwendig.</p>
+<p>This <a href="https://docs.nextcloud.com/server/30/admin_manual/installation/harden_server.html#enable-http-strict-transport-security">Dokumentation erklärt wie HSTS eingerichtet wird</a>. Der <strong>includeSubDomains</strong>-Schalter ist notwendig.</p>
 <h3>Auflösung von "/.well-known/caldav|carddav" scheitert</h3
-<p>Das Auffinden von Adressbuch- und Kalenderdiensten kann für entsprechende Klienten vereinfacht werden, in dem solche well-known URLs verfügbar gemacht werden, die letztlich auf den tatsächlichen Dienst verweisen. Die anschlagende Überprüfung tested, ob unterhalb der Hauptdomain diese URLs vorhanden sind. Um diese bereit zu stellen muss auch hier der Webserver des Hosts <a href="https://docs.nextcloud.com/server/29/admin_manual/issues/general_troubleshooting.html#service-discovery">anhand dieser Dokumentation</a> angefasst werden.
+<p>Das Auffinden von Adressbuch- und Kalenderdiensten kann für entsprechende Klienten vereinfacht werden, in dem solche well-known URLs verfügbar gemacht werden, die letztlich auf den tatsächlichen Dienst verweisen. Die anschlagende Überprüfung tested, ob unterhalb der Hauptdomain diese URLs vorhanden sind. Um diese bereit zu stellen muss auch hier der Webserver des Hosts <a href="https://docs.nextcloud.com/server/30/admin_manual/issues/general_troubleshooting.html#service-discovery">anhand dieser Dokumentation</a> angefasst werden.
 <p>Es kann nur jeweils ein Dienst pro Domain verknüpft werden. Das Vorhandensein der URLs ist nicht kritisch für das Funktionieren der Nextcloud, erhöht aber den Komfort für einige Endnutzer.</p>
 <p>Diese Überprüfung ist während der Nextcloud 13 Serie eingeführt worden. In früheren Versionen wurde der Hinweis folglich nicht gezeigt.</p>
 <h3>Fehlende Datenbank-Indizes</h3>

i18n/en/README_INSTALL_EN

@@ -1,4 +1,4 @@
 Nextcloud offers the possibility of using LDAP groups from UCS. This make it easier to share a folder to a range of people, for instance. To include a specific group they can be enabled from within their extended settings in UCS. For a significantly better performance, please make sure that the <a href="https://help.univention.com/t/memberof-attribute-group-memberships-of-user-and-computer-objects/6439" target="_blank">memberOf overlay</a> is activated. In domains that were installed with at least UCS 4.3 it is activated by default.
 <br>
 <br>
-Also, if the host webserver does not have HTTP Strict Transport Security enabled, it is recommend to configure it. More information can be found in <a href="https://docs.nextcloud.com/server/29/admin_manual/installation/harden_server.html#enable-http-strict-transport-security" target="_blank">our documentation</a>.
+Also, if the host webserver does not have HTTP Strict Transport Security enabled, it is recommend to configure it. More information can be found in <a href="https://docs.nextcloud.com/server/30/admin_manual/installation/harden_server.html#enable-http-strict-transport-security" target="_blank">our documentation</a>.

i18n/en/README_POST_INSTALL_EN

@@ -5,8 +5,8 @@
 <p>In the <strong>Security & setup warnings</strong> section it is likely that some messages are shown, on how to improve the setup. The items mentioned cannot be done by the Nextcloud integration for UCS, instead the admin needs to decide whether actions should be taken.</p>
 <h3>"Strict-Transport-Security" HTTP header</h3>
 <p>To harden the service against man-in-the-middle attacks, this mechanism can be enabled. The SSL termination happens on the reverse proxy, which typically is an Apache2 web server on the host. The configuration for the domain(s) Nextcloud is running on would need to be extended with an HTTP header. Applying the changes affects all services running within this domain.</p>
-<p>This <a href="https://docs.nextcloud.com/server/29/admin_manual/installation/harden_server.html#enable-http-strict-transport-security">documentation page explains how to configure HSTS</a>. The <strong>includeSubDomains</strong> is necessary.</p>
+<p>This <a href="https://docs.nextcloud.com/server/30/admin_manual/installation/harden_server.html#enable-http-strict-transport-security">documentation page explains how to configure HSTS</a>. The <strong>includeSubDomains</strong> is necessary.</p>
 <h3>Not able to resolve "/.well-known/caldav|carddav"</h3>
-<p>Discovery of addressbook and calendar services can be made easier for such clients, by providing well-known URLs that redirect to the actual location of that service. This check tests whether the top-level domain has the given URLs present. Again, to resolve this, the web server configuration of the host needs to be adjusted, <a href="https://docs.nextcloud.com/server/29/admin_manual/issues/general_troubleshooting.html#service-discovery">according to this documentation</a>.<p>
+<p>Discovery of addressbook and calendar services can be made easier for such clients, by providing well-known URLs that redirect to the actual location of that service. This check tests whether the top-level domain has the given URLs present. Again, to resolve this, the web server configuration of the host needs to be adjusted, <a href="https://docs.nextcloud.com/server/30/admin_manual/issues/general_troubleshooting.html#service-discovery">according to this documentation</a>.<p>
 <p>It is only possible to link to one service provider on a domain. Having the URLs present is not crucial for a working Nextcloud setup, but improves the convenience for some end users.</p>
 <p>The check was introduced within the Nextcloud 13 series. Thus in the earlier version the hint was not shown.</p>

i18n/en/README_POST_UPDATE_EN

@@ -2,9 +2,9 @@
 <p>In the <strong>Security & setup warnings</strong> section it is likely that some messages are shown, on how to improve the setup. The items mentioned cannot be done by the Nextcloud integration for UCS, instead the admin needs to decide whether actions should be taken.</p>
 <h3>"Strict-Transport-Security" HTTP header</h3>
 <p>To harden the service against man-in-the-middle attacks, this mechanism can be enabled. The SSL termination happens on the reverse proxy, which typically is an Apache2 web server on the host. The configuration for the domain(s) Nextcloud is running on would need to be extended with an HTTP header. Applying the changes affects all services running within this domain.</p>
-<p>This <a href="https://docs.nextcloud.com/server/29/admin_manual/installation/harden_server.html#enable-http-strict-transport-security">documentation page explains how to configure HSTS</a>. The <strong>includeSubDomains</strong> is necessary.</p>
+<p>This <a href="https://docs.nextcloud.com/server/30/admin_manual/installation/harden_server.html#enable-http-strict-transport-security">documentation page explains how to configure HSTS</a>. The <strong>includeSubDomains</strong> is necessary.</p>
 <h3>Not able to resolve "/.well-known/caldav|carddav"</h3>
-<p>Discovery of addressbook and calendar services can be made easier for such clients, by providing well-known URLs that redirect to the actual location of that service. This check tests whether the top-level domain has the given URLs present. Again, to resolve this, the web server configuration of the host needs to be adjusted, <a href="https://docs.nextcloud.com/server/29/admin_manual/issues/general_troubleshooting.html#service-discovery">according to this documentation</a>.<p>
+<p>Discovery of addressbook and calendar services can be made easier for such clients, by providing well-known URLs that redirect to the actual location of that service. This check tests whether the top-level domain has the given URLs present. Again, to resolve this, the web server configuration of the host needs to be adjusted, <a href="https://docs.nextcloud.com/server/30/admin_manual/issues/general_troubleshooting.html#service-discovery">according to this documentation</a>.<p>
 <p>It is only possible to link to one service provider on a domain. Having the URLs present is not crucial for a working Nextcloud setup, but improves the convenience for some end users.</p>
 <p>The check was introduced within the Nextcloud 13 series. Thus in the earlier version the hint was not shown.</p>
 <h3>Missing database indices</h3>

inst

@@ -281,7 +281,7 @@ nextcloud_configure_saml() {
             --set simplesamlAttributes=TRUE \
             --set AssertionConsumerService="https://$hostname.$domainname/nextcloud/apps/user_saml/saml/acs" \
             --set simplesamlNameIDAttribute="uid" \
-            --set singleLogoutService="https://$hostname.$domainname/nextcloud/apps/user_saml/saml/sls" || die
+            --set singleLogoutService="https://$hostname.$domainname/nextcloud/apps/user_saml/saml/sls" || die "Failed to create saml/serviceprovider (SimpleSAMLphp)"
 
         IDP_CERT=$(curl -s https://"${ucs_server_sso_fqdn:-ucs-sso.$domainname}"/simplesamlphp/saml2/idp/certificate | sed -ne '
             /-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p      # got the range, ok