Postępowanie z lukami w zabezpieczeniach produktów OMICRON i ujawnianie informacji o nich
W firmie OMICRON traktujemy bardzo poważnie wszystkie informacje dotyczące luk i słabych punktów występujących w naszych produktach. Jesteśmy wdzięczni za każde zgłoszenie, które pomaga nam w poprawie ich zabezpieczeń. Dlatego też zastosowaliśmy podejście systemowe przy otrzymywaniu, przetwarzaniu i ujawnianiu tego rodzaju informacji o lukach.
Skoordynowane ujawnianie
Jesteśmy świadomi naszego obowiązku przyczyniania się do wzrostu poziomu bezpieczeństwa cybernetycznego, szczególnie w obrębie infrastruktury krytycznej. Dlatego też chcemy informować naszych klientów o potwierdzonych i istotnych słabych punktach naszych produktów, zamieszczając ich opisy w sekcji Doradztwa w zakresie bezpieczeństwa poniżej. Jednak, aby uniknąć niepotrzebnego ryzyka dla naszych klientów, zachęcamy każdego, kto wykryje lukę do nieupubliczniania tego rodzaju informacji, dopóki nie poddamy ocenie wszystkich możliwych działań zaradczych.
Product Security Team firmy OMICRON
W firmie OMICRON działa Product Security Team (zespół ds. zabezpieczeń produktów), odpowiedzialny za zarządzanie kwestiami bezpieczeństwa i podejmowania dalszych czynności związanych z ujawnianiem informacji. Członkowie tego zespołu chętnie odpowiedzą na wszelkie pytania związane ze słabymi punktami produktów OMICRON. Jeżeli to możliwe, prosimy o korzystanie z szyfrowanych wiadomości e-mail.
security@omicronenergy.com
Klucz publiczny PGP3,14 kB
Odcisk palca: 90F2 6F91 6186 22EA AFF1 06A0 F014 F4B8 C72E C818
Postępowanie z lukami i proces ich ujawniania
Aby zapewnić niezawodne i skuteczne postępowanie z istotnymi kwestami dotyczącymi zabezpieczeń oraz ujawnianie informacji o nich, stworzyliśmy całościowy i systematyczny proces. Poniżej zamieszczamy bardziej szczegółowe informacje dotyczące każdego etapu tego procesu.
1. Zgłoszenie
Zachęcamy wszystkich użytkowników do zgłaszania problemów z zabezpieczeniami produktów firmy OMICRON.
Szanujemy Twoją prywatność – nie upublicznimy żadnych informacji, które Ciebie dotyczą, bez Twojej wyraźnej zgody.
Możliwe jest anonimowe zgłoszenie wykrytego problemu z zabezpieczeniami. Jednak, jeżeli takie będzie Twoje życzenie, oficjalnie podziękujemy Ci za znalezienie słabego punktu w naszej sekcji doradztwa w zakresie bezpieczeństwa.
W celu zgłoszenia problemu dotyczącego luki skontaktuj się z Product Security Team, o którym pisaliśmy wcześniej. Podczas zgłaszania problemów związanych z bezpieczeństwem prosimy o przedstawienie możliwie jak najwięcej szczegółów i umieszczenie w zgłoszeniu następujących informacji:
- Produkt firmy OMICRON, włącznie z jego dokładną wersją, którego dotyczy problem
- Szczegółowy opis znalezionej luki
- Jeżeli będzie to możliwe, prosimy o załączenie dostępnych kodów wykorzystujących daną lukę lub opisu krok po kroku podejścia, które umożliwia wykrycie luki
- Czy istnieją plany upublicznienia informacji dotyczącej luki?
2. Analiza
Po otrzymaniu zgłoszenia rozpoczniemy dogłębną analizę problemu związanego z zabezpieczeniami. Naszym celem jest odtworzenie problemu i wykrycie jego pierwotnej przyczyny.
3. Ocena
Po zakończeniu analizy problemu związanego z zabezpieczeniami dokonamy oceny prawdopodobieństwa wystąpienia potencjalnych skutków istnienia danej luki dla naszych klientów.
4. Środki zaradcze
W oparciu o naszą ocenę, możemy podjąć dalsze środki zaradcze. Jednym z nich może być przygotowanie łatki dla klientów, których dotyczy problem, co pociągnie za sobą strukturalne ujawnienie słabego punktu.
5. Ujawnienie
Jesteśmy świadomi naszej odpowiedzialności i tego, jak wielkie znaczenie ma informowanie klientów, których dotyczy problem, o lukach i słabych punktach występujących w produktach OMICRON, w celu uniknięcia potencjalnych szkód. Dlatego też wszystkie problemy z zabezpieczeniami będą traktowane poważnie, a klienci, których mogą dotknąć te problemy, będą informowani.
Będziemy upubliczniać następujące informacje:
- Opis luki
- Produkty firmy OMICRON, włącznie z ich dokładnymi wersjami, których dotyczy problem
- Punktacja CVSS
- Wpis CVE (jeżeli ma zastosowanie)
- Wymagane czynności zaradcze, które należy podjąć w związku z luką
- Podziękowania (jeżeli takie będzie życzenie znalazcy luki)
Zalecenia dotyczące bezpieczeństwa
Poniżej można znaleźć wszystkie ostrzeżenia dotyczące bezpieczeństwa, które zostały znalezione i opublikowane w międzyczasie.
| ID | Tytuł | Produkty, których dotyczy problem | Identyfikator CVE | Punktacja CVSS | Ostatnia aktualizacja | Pobierz |
|---|---|---|---|---|---|---|
OSA-9 | 3rd Party Vulnerabilities in CM-Line, CMS 356 and ARCO 400 embedded image versions | CMC 256plus, CMC 353, CMC 430, CMS 356, CMC 850, ARCO 400 with Images before v2.63 | CVE-1999-0517 | 7.5 | 2024-03-29 | |
OSA-8 | Linux Kernel Vulnerability in IGB Driver affecting StationGuard and StationScout | StationGuard Image 2.10.0073, 2.20.0080, 2.21.0081, StationScout StationScout Image 2.10.0059, 2.20.0063, 2.21.0064 | CVE-2023-45871 | 9.8 | 2023-11-22 | |
OSA-7 | 3rd Party Vulnerabilities affecting StationGuard and StationScout | StationGuard < 2.30, StationScout < 2.30 | CVE-2023-23919 | 7.5 | 2023-11-22 | |
OSA-6 | Incorrect Authorization Vulnerability in StationScout and StationGuard | StationGuard StationGuard Image 1.10.0056 - 2.20.0080, StationScout StationScout Image 1.30.0040 - 2.20.0063 | CVE-2023-28611 | 10 | 2023-11-22 | |
OSA-5 | Vulnerability in Update Process of StationScout and StationGuard < 2.21 | StationGuard StationGuard Image all before 2.20.0080, StationScout StationScout Image all before 2.20.0063 | CVE-2023-28610 | 10 | 2023-11-22 | |
OSA-4 | 3rd Party Vulnerabilities affecting StationGuard and StationScout < 2.20 | StationGuard < 2.20, StationScout < 2.20 | CVE-2018-25032 | 7.5 | 2023-11-22 | |
OSA-3 | 3rd Party Vulnerabilities affecting StationGuard image < 2.00 | StationGuard StationGuard Image all before 1.10.0056 | CVE-2021-37701 | 5 | 2023-11-22 | |
OSA-2 | Multiple 3rd Party Denial-of-Service Vulnerabilities in StationGuard and StationScout < 2.0 | StationGuard StationGuard Image all before 1.10.0056, StationScout StationScout Image all before 1.30.0040 | CVE-2020-8265 | 8.1 | 2022-11-22 | |
OSA-1 | Denial-of-Service Vulnerability in StationGuard 1.0 | StationGuard StationGuard Image 1.00.0048 | CVE-2021-30464 | 7.5 | 2022-11-22 |
Bądź na bieżąco
Poniżej znajdziesz nasze kanały RSS dotyczące poszczególnych produktów, aby otrzymywać informacje o nowych lub zaktualizowanych biuletynach bezpieczeństwa. Po prostu wybierz żądany produkt, aby otrzymać odpowiedni link RSS, który można zintegrować z wybranym przez Ciebie czytnikiem RSS.