Vulnerability Disclosure Policy

Richtlinie zur Schwachstellenoffenlegung


Die Veröffentlichung von durch das Security Research-Team der CIPHRON GmbH gefundene Schwachstellen erfolgt nach folgendem Protokoll, wenn nicht anders spezifiziert:

  1. Die Schwachstellenbeschreibung wird dem Hersteller über eine bekannte oder vom Hersteller genannte Kontaktschnittstelle gemeldet
  2. Übergeben wird eine Beschreibung zum Nachvollziehen der Schwachstelle
  3. Ab dem Zeitpunkt der Übergabe der Schwachstellenbeschreibung an den Hersteller wird die Schwachstelle spätestens nach 90 Tagen veröffentlicht
  4. Fällt dieser Tag auf ein Wochenende oder einen bundesweiten Feiertag, wird die Frist auf den darauffolgenden Werktag verschoben
  5. Wird ein Patch für die Schwachstelle schon vor Ablauf der Frist veröffentlicht, wird damit auch die Veröffentlichung der Schwachstellenbeschreibung vorgezogen
  6. Sofern der Hersteller vermeldet, dass ein Patch veröffentlicht wird, allerdings erst innerhalb von zwei Wochen nach Ablauf der Frist, wird die Frist zur Veröffentlichung auf das vom Hersteller gemeldete Datum verschoben
  7. Sofern der Hersteller vermeldet, dass ein Patch erst später als zwei Wochen nach Ablauf der Frist veröffentlich wird, wird die Schwachstellenbeschreibung nach 90 Tagen veröffentlicht
  8. Im Falle von Schwachstellen, die kritische Infrastruktur (KRITIS) betreffen können, wird das Bundesamt für Sicherheit in der Informationstechnik (BSI) in die Kommunikation mit einbezogen


Wir behalten uns das Recht vor, Schwachstellen vor Ablauf der Frist zu veröffentlichen, wenn:

  1. Kein erfolgreicher Kontakt zum Hersteller hergestellt werden konnte -
    Ein erfolgreicher Kontakt beinhaltet, sofern nicht bekannt, das Nennen eines persönlichen Ansprechpartners, die Übergabe der Schwachstellenbeschreibung an diesen sowie eine Empfangsbestätigung
  2. Die Schwachstelle auf anderem Weg öffentlich gemacht wurde
  3. Exploits zu der Schwachstelle öffentlich verfügbar werden
  4. Von einem konkreten Threat auszugehen ist, d.h. davon auszugehen ist bzw. deutliche Hinweise existieren, dass die Schwachstelle bereits ausgenutzt wird


Die Beschreibung wird wie folgt veröffentlicht:

  1. Auf einschlägigen Mailinglisten (Full-Disclosure, Bugtraq, OSS usw.)
  2. Auf der CIPHRON-Internetseite in einem gesonderten Advisory-Bereich












CIWATCH


IT-Monitoring

Das umfassendste KnowHow zur Überwachung Ihrer IT-Services


Mehr erfahren









CIDESK


Enterprise-OTRS

Geschäftsprozesse und Kommunikation perfekt managen


Mehr erfahren









CISQUAD


Wir machen sauber

Cyber-Angriffe abwehren und
Sicherheit wieder herstellen


Mehr erfahren









CICHECK


Wir hacken Sie!

Stellen Sie Ihre Sicherheit
auf die Probe


Mehr erfahren