0-Day: Our Vulnerability Disclosure Guideline

Description

Dieses Dokument beschreibt, wie wir mit der Entdeckung einer Sicherheitslücke umgehen. Es ist eine Regel und Referenz für einen solchen Sicherheitsvorfall. Diese Norm gibt verbindliche Hinweise zur sachgerechten und sicheren Verarbeitung durch die ProSec GmbH

Disclosure Specification

Folgende Angaben müssen in die Offenlegung aufgenommen werden:

WORDEXPLANATION
Vulnerability typespecifies, which vulnerability type affects the finding.
Vulnerable versiondescribes the version associated with the vulnerability.
Vulnerable componentnames the susceptible devices of the vulnerability.
Report confidencehere you can find the detailed report of the vulnerability.
Fixed versionnames the repository version.
Vendor notificationexplains, what the vendor responds about this vulnerability.
Solution datespecifies the resolution date of the vulnerability.
CVE referenceis an industry standard, which aims to introduce a unified naming convention for vulnerabilities.
CWEis a category system for software weaknesses and vulnerabilities.
CVSSv3 Calculatorshows the components of the Common Vulnerability Scoring System.
Researcher Creditsnames the researcher who found the vulnerability
Vulnerability Detailsdescribes the exact details of the vulnerabilities and which devices are affected.
Riskdescribes the effects the vulnerability might have.
Steps to reproduceexplains the way to reconstruct the vulnerability.
Solutionshows a possible solution to fix the vulnerability
Historydescribes the history of the vulnerability, when it was identified and how it progressed further.

Das Unternehmen, das die Sicherheitslücke betrifft, muss den Pentester offiziell in
dem “Advisory” nennen. Darüber hinaus darf die ProSec GmbH die Firma als Referenz nennen.

Hast Du Fragen zur Guideline?
Wir beraten Dich gerne!
Jetzt Anfragen

Bug bounty

Besteht ein Bug-Bounty-Programm, ist die ProSec GmbH berechtigt, den Erlös einzufordern.

Public disclosure

Reagiert das betroffene Unternehmen nicht innerhalb von 14 Tagen auf die Bekanntgabe der Sicherheits
Lücke, wird die Offenlegung einschließlich der PoC-Codes veröffentlicht.

Reagiert das betroffene Unternehmen innerhalb von 14 Tagen auf die Offenlegung, wird eine koordinierte Offenlegung
durchgeführt; ist der Hersteller betroffen, wird eine gemeinsame  Lösung für des Problems gefunden.

Coordinated disclosure

Nachdem die Schwachstelle behoben wurde, warten wir 14 Tage bis zur Veröffentlichung (von der Offenlegung ausgenommen sind die PoC-Codes). Die Veröffentlichung gibt Kunden die Möglichkeit, die Schwachstellen durch Updates des Herstellers zu beheben. Unser Ziel bei dieser Strategie ist es nicht, Nachahmer zu schaffen. Um unseren Prozess zu veranschaulichen, finden Sie nachfolgend zwei Zeitleisten:

Coordinated disclosure

Timeframe

Das Unternehmen, das von der Sicherheitslücke betroffen ist, muss innerhalb von 14 Tagen nach der Benachrichtigung durch die ProSec GmbH eine Stellungnahme an die security@prosec-networks.com abgeben. Erfolgt keine Information, ist die ProSec GmbH berechtigt, die Offenlegung zu veröffentlichen. Benötigt das Unternehmen oder der Hersteller mehr Zeit zur Behebung der Sicherheitslücke, wird eine gemeinsame Frist mit der ProSec GmbH vereinbart.

Supplementary agreement

Alle Beteiligten müssen sich über die Fristen und Konsequenzen dieser Offenlegung im Klaren sein.

ANDERE BEITRÄGE
Configuration Management Darstellung Knowledge Base
Configuration Management

Was ist Configuration Management? Konfigurationsmanagement oder im englischen Configuration Management (CM) ist ein Prozess zur Herstellung und Erhaltung eines einheitlichen

Mehr lesen »

Inhaltsverzeichnis

Wir verwenden Cookies, um Ihnen die bestmögliche Erfahrung zu bieten. Wenn Sie unsere Website weiterhin besuchen, stimmen Sie der Verwendung von Cookies zu, wie in unserer Datenschutzerklärung beschrieben.