Vulnerability Disclosure Policy

Richtlinie zur Schwachstellenoffenlegung

Die Veröffentlichung von durch das Security Research-Team der CIPHRON GmbH gefundene Schwachstellen erfolgt nach folgendem Protokoll, wenn nicht anders spezifiziert:

  1. Die Schwachstellenbeschreibung wird dem Hersteller über eine bekannte oder vom Hersteller genannte Kontaktschnittstelle gemeldet
  2. Übergeben wird eine Beschreibung zum Nachvollziehen der Schwachstelle
  3. Ab dem Zeitpunkt der Übergabe der Schwachstellenbeschreibung an den Hersteller wird die Schwachstelle spätestens nach 90 Tagen veröffentlicht
  4. Fällt dieser Tag auf ein Wochenende oder einen bundesweiten Feiertag, wird die Frist auf den darauffolgenden Werktag verschoben
  5. Wird ein Patch für die Schwachstelle schon vor Ablauf der Frist veröffentlicht, wird damit auch die Veröffentlichung der Schwachstellenbeschreibung vorgezogen
  6. Sofern der Hersteller vermeldet, dass ein Patch veröffentlicht wird, allerdings erst innerhalb von zwei Wochen nach Ablauf der Frist, wird die Frist zur Veröffentlichung auf das vom Hersteller gemeldete Datum verschoben
  7. Sofern der Hersteller vermeldet, dass ein Patch erst später als zwei Wochen nach Ablauf der Frist veröffentlicht wird, wird die Schwachstellenbeschreibung nach 90 Tagen veröffentlicht
  8. Im Falle von Schwachstellen, die kritische Infrastruktur (KRITIS) betreffen können, wird das Bundesamt für Sicherheit in der Informationstechnik (BSI) in die Kommunikation mit einbezogen


Wir behalten uns das Recht vor, Schwachstellen vor Ablauf der Frist zu veröffentlichen, wenn:

  1. Kein erfolgreicher Kontakt zum Hersteller hergestellt werden konnte -
    Ein erfolgreicher Kontakt beinhaltet, sofern nicht bekannt, das Nennen eines persönlichen Ansprechpartners, die Übergabe der Schwachstellenbeschreibung an diesen sowie eine Empfangsbestätigung
  2. Die Schwachstelle auf anderem Weg öffentlich gemacht wurde
  3. Exploits zu der Schwachstelle öffentlich verfügbar werden
  4. Von einem konkreten Threat auszugehen ist, d.h. davon auszugehen ist bzw. deutliche Hinweise existieren, dass die Schwachstelle bereits ausgenutzt wird


Die Beschreibung wird wie folgt veröffentlicht:

  1. Auf einschlägigen Mailinglisten (Full-Disclosure, Bugtraq, OSS usw.)
  2. Auf der CIPHRON-Internetseite in einem gesonderten Advisory-Bereich



  • CIWATCH


    IT-Monitoring

    Das umfassendste KnowHow zur Überwachung Ihrer IT-Services


    Mehr erfahren
  • CIDESK


    OTOBO

    Geschäftsprozesse und Kommunikation perfekt managen


    Mehr erfahren
  • CISQUAD


    Wir machen sauber

    Cyber-Angriffe abwehren und
    Sicherheit wieder herstellen


    Mehr erfahren
  • CICHECK


    Wir hacken Sie!

    Stellen Sie Ihre Sicherheit
    auf die Probe


    Mehr erfahren

Ihre Internet Explorer Version ist nicht für unsere Webseite optimiert und kann möglicherweise Fehler in der Darstellung aufweisen.
Bitte aktualisieren Sie ihren Browser auf den aktuellsten Stand - Vielen Dank!

Verstanden!