Die Veröffentlichung von durch das Security Research-Team der CIPHRON GmbH gefundene Schwachstellen erfolgt nach folgendem Protokoll, wenn nicht anders spezifiziert:
- Die Schwachstellenbeschreibung wird dem Hersteller über eine bekannte oder vom Hersteller genannte Kontaktschnittstelle gemeldet
- Übergeben wird eine Beschreibung zum Nachvollziehen der Schwachstelle
- Ab dem Zeitpunkt der Übergabe der Schwachstellenbeschreibung an den Hersteller wird die Schwachstelle spätestens nach 90 Tagen veröffentlicht
- Fällt dieser Tag auf ein Wochenende oder einen bundesweiten Feiertag, wird die Frist auf den darauffolgenden Werktag verschoben
- Wird ein Patch für die Schwachstelle schon vor Ablauf der Frist veröffentlicht, wird damit auch die Veröffentlichung der Schwachstellenbeschreibung vorgezogen
- Sofern der Hersteller vermeldet, dass ein Patch veröffentlicht wird, allerdings erst innerhalb von zwei Wochen nach Ablauf der Frist, wird die Frist zur Veröffentlichung auf das vom Hersteller gemeldete Datum verschoben
- Sofern der Hersteller vermeldet, dass ein Patch erst später als zwei Wochen nach Ablauf der Frist veröffentlicht wird, wird die Schwachstellenbeschreibung nach 90 Tagen veröffentlicht
- Im Falle von Schwachstellen, die kritische Infrastruktur (KRITIS) betreffen können, wird das Bundesamt für Sicherheit in der Informationstechnik (BSI) in die Kommunikation mit einbezogen
Wir behalten uns das Recht vor, Schwachstellen vor Ablauf der Frist zu veröffentlichen, wenn:
- Kein erfolgreicher Kontakt zum Hersteller hergestellt werden konnte -
Ein erfolgreicher Kontakt beinhaltet, sofern nicht bekannt, das Nennen eines persönlichen Ansprechpartners, die Übergabe der Schwachstellenbeschreibung an diesen sowie eine Empfangsbestätigung - Die Schwachstelle auf anderem Weg öffentlich gemacht wurde
- Exploits zu der Schwachstelle öffentlich verfügbar werden
- Von einem konkreten Threat auszugehen ist, d.h. davon auszugehen ist bzw. deutliche Hinweise existieren, dass die Schwachstelle bereits ausgenutzt wird
Die Beschreibung wird wie folgt veröffentlicht:
- Auf einschlägigen Mailinglisten (Full-Disclosure, Bugtraq, OSS usw.)
- Auf der CIPHRON-Internetseite in einem gesonderten Advisory-Bereich
-
-
CIWATCH
IT-Monitoring
Das umfassendste KnowHow zur Überwachung Ihrer IT-Services
Mehr erfahren
-
-
CIDESK
OTOBO
Geschäftsprozesse und Kommunikation perfekt managen
Mehr erfahren
-
-
CISQUAD
Wir machen sauber
Cyber-Angriffe abwehren und
Sicherheit wieder herstellen
Mehr erfahren
-
-
CICHECK
Wir hacken Sie!
Stellen Sie Ihre Sicherheit
auf die Probe
Mehr erfahren