Πολιτική Αποκάλυψης Ευπαθειών

 

Η Lenovo δεσμεύεται να παρέχει ασφαλή προϊόντα και υπηρεσίες. Όταν εντοπίζονται ευπάθειες, εργαζόμαστε με επιμέλεια για να τις επιλύσουμε. Το παρόν έγγραφο περιγράφει την πολιτική της Lenovo’ να λαμβάνει αναφορές σχετικές με πιθανές ευπάθειες ασφαλείας στα προϊόντα και τις υπηρεσίες της, καθώς και την εταιρική’ τυπική πρακτική αναφορικά με την ενημέρωση των πελατών για τις επαληθευμένες ευπάθειες.

Πότε πρέπει να επικοινωνήσετε με την Product Security Incident Response Team (PSIRT)

Επικοινωνήστε με την Product Security Incident Response Team της Lenovo (PSIRT) αποστέλλοντας ένα μήνυμα ηλεκτρονικού ταχυδρομείου στη διεύθυνση psirt@lenovo.com εφόσον έχετε αναγνωρίσει μια ενδεχόμενη ευπάθεια ασφαλείας σε ένα από τα προϊόντα μας. Μετά την παραλαβή της αναφοράς περιστατικού, το κατάλληλο προσωπικό θα επικοινωνήσει μαζί σας για να συνεχίσετε.

Για να διασφαλίσουμε την εμπιστευτικότητα, σας προτρέπουμε να κρυπτογραφήσετε κάθε ευαίσθητη πληροφορία που μας στέλνετε μέσω ηλεκτρονικού ταχυδρομείου. Μπορούμε να λαμβάνουμε κρυπτογραφημένα μηνύματα χρησιμοποιώντας το OpenPGP. Μπορείτε να βρείτε αντίγραφο του δημόσιου κλειδιού μας που μπορεί να χρησιμοποιηθεί για την αποστολή κρυπτογραφημένων μηνυμάτων ηλεκτρονικού ταχυδρομείου εδώ.

Η διεύθυνση ηλεκτρονικού ταχυδρομείου psirt@lenovo.com προορίζεται ΜΟΝΟ για τον σκοπό της αναφοράς ευπαθειών ασφαλείας για προϊόντα ή υπηρεσίες που είναι συγκεκριμένες για τα προϊόντα ή τις υπηρεσίες μας. Για πληροφορίες τεχνικής υποστήριξης σχετικά με τα προϊόντα ή τις υπηρεσίες μας, επισκεφτείτε τη διεύθυνση www.lenovo.com/support.

Η Lenovo προσπαθεί να αναγνωρίσει την παραλαβή όλων των αναφορών που υποβλήθηκαν εντός δύο εργάσιμων ημερών.

Λήψη πληροφοριών ασφαλείας από τη Lenovo

Τεχνικές πληροφορίες σχετικά με συμβουλές σε θέματα ασφάλειας που συσχετίζονται με τα προϊόντα και τις υπηρεσίες μας δημοσιεύονται στην τοποθεσία web για θέματα ασφάλειας www.lenovo.com/product_security/advisories. Στις περισσότερες περιπτώσεις, θα εκδώσουμε μια ειδοποίηση όταν εντοπιστεί μια πρακτική λύση ή διόρθωση για το συγκεκριμένο θέμα ευπάθειας ασφαλείας, αν και μπορεί να υπάρξουν περιπτώσεις κατά τις οποίες εκδίδουμε μια ειδοποίηση χωρίς να υπάρχει λύση όταν η ευπάθεια έχει καταστεί ευρέως γνωστή στην κοινότητα της ασφάλειας.

Όταν η Lenovo ειδοποιείται από τρίτο μέρος για πιθανή ευπάθεια που διαπιστώνεται στα προϊόντα μας, θα διερευνήσουμε το εύρημα και ενδέχεται να δημοσιεύσουμε μια κοινή γνωστοποίηση μαζί με το τρίτο μέρος. Σε ορισμένες περιπτώσεις, η Lenovo ενδέχεται να λάβει πληροφορίες σχετικά με μια ευπάθεια ασφαλείας από έναν προμηθευτή βάσει συμφωνίας εμπιστευτικότητας ή μη γνωστοποίησης. Σε αυτές τις περιπτώσεις, η Lenovo θα συνεργαστεί με τον προμηθευτή για να ζητήσει την κυκλοφορία μιας διόρθωσης ασφαλείας, αν και ενδέχεται να μην είμαστε σε θέση να παράσχουμε λεπτομέρειες σχετικά με την ευπάθεια ασφαλείας.

Σοβαρότητα

Κατά τη βαθμολόγηση ή τον χαρακτηρισμό των ευπαθειών, η Lenovo ακολουθεί τυπικές βέλτιστες πρακτικές του κλάδου για τον προσδιορισμό της πιθανής επίδρασης της ευπάθειας’ ως Υψηλή, Μέτρια ή Χαμηλή. Αυτή η προσέγγιση ακολουθεί το Σύστημα Βαθμολόγησης Κοινής Ευπάθειας (CVSS), το οποίο παρέχει ένα ανοιχτό πλαίσιο για τη γνωστοποίηση των χαρακτηριστικών και των επιπτώσεων των ευπαθειών στον κλάδο της πληροφορικής. Το CVSS επιτρέπει στους υπεύθυνους πληροφορικής, τους παρόχους ενημερωτικών δελτίων ευπάθειας, τους προμηθευτές ασφάλειας, τους προμηθευτές εφαρμογών και τους ερευνητές να επωφεληθούν όλοι, υιοθετώντας μια κοινή γλώσσα βαθμολόγησης των ευπαθειών στον κλάδο της πληροφορικής.

Περιγραφή

Οι συμβουλές ασφαλείας είναι γραμμένες για να εξηγήσουν με σαφήνεια την ευπάθεια, συμπεριλαμβανομένου του ονόματος, της αιτίας και άλλων διαθέσιμων πληροφοριών. Οι συμβουλές παρέχουν πληροφορίες σχετικά με γνωστές απειλές που σχετίζονται με την ευπάθεια (π.χ. ύπαρξη κώδικα εκμετάλλευσης ή επαλήθευσης ιδέας, συζήτηση ή απόδειξη δραστηριότητας περιστατικού). Οι συμβουλές περιγράφουν επίσης τις πιθανές/αναμενόμενες συνέπειες των επιθέσεων εναντίον της ευπάθειας.

Επίδραση στο προϊόν

Σε γενικές γραμμές, οι συμβουλές ασφαλείας περιλαμβάνουν μια λίστα με προϊόντα Lenovo με την ιδιότητα Affected (επηρεαζόμενο), Not Affected (μη επηρεαζόμενο) ή Researching (υπό αναζήτηση). Τα επηρεαζόμενα προϊόντα θα περιλαμβάνουν έναν σύνδεσμο προς τη διόρθωση που μπορείτε να βρείτε στην τοποθεσία Υποστήριξης Lenovo (όπου διατηρούνται όλες οι ενημερώσεις) ή μια συνιστώμενη λύση ή/και ημερομηνία στόχο για αποκατάσταση. Σε περιπτώσεις όπου η ευπάθεια είναι συγκεκριμένη για συγκεκριμένο σύνολο προϊόντων, η Lenovo μπορεί να παρέχει μόνο μια λίστα με τα προϊόντα που επηρεάζονται.  Σε ορισμένες περιπτώσεις, η Lenovo ενδέχεται να χρειαστεί να δημοσιεύσει μια συμβουλή ασφαλείας πριν από την ολοκλήρωση μιας αξιολόγησης επιδράσεων σε όλα τα προϊόντα. Σε αυτές τις περιπτώσεις, θα εμφανιστεί η ιδιότητα "Υπό αναζήτηση". Συνιστάται οι πελάτες να επισκέπτονται την τοποθεσία συμβουλών ασφαλείας για να ενημερώνονται για την κατάσταση των συμβουλών.

Λύση

Για τις ευπάθειες των προϊόντων, οι συμβουλές παρέχουν πληροφορίες για το πώς μπορείτε να αποκτήσετε τη διόρθωση ή το λογισμικό επιδιόρθωσης ασφαλείας. Σε ορισμένες περιπτώσεις, μπορεί να προταθεί μια άλλη λύση ώστε να βοηθηθούν οι πελάτες να προστατεύσουν τα χρησιμοποιούμενα προϊόντα που επηρεάζονται μέσω λειτουργικής προσπάθειας ή περιορίζοντας τη χρήση με κάποιο τρόπο χωρίς να εφαρμοστεί το η διόρθωση ή το λογισμικό επιδιόρθωσης ασφαλείας.

Αναφορές

Εάν διατίθενται επιπλέον πληροφορίες σχετικά με την ευπάθεια, οι συμβουλές θα παρέχουν συνδέσμους ως αναφορά. Εδώ περιλαμβάνονται σύνδεσμοι προς το CVE ή το blog ή παραπομπές άρθρου.

Αναγνώριση

Συνήθως, προσπαθούμε να αναγνωρίσουμε τον ερευνητή ή το άτομο που εντόπισε την ευπάθεια και, με την άδειά τους, θα τους παρέχουμε αναγνώριση.

Ιστορικό αναθεωρήσεων

Όταν γίνονται ενημερώσεις σε συμβουλές, το ιστορικό αναθεωρήσεων θα δείχνει τι ενημερώθηκε και πότε.

Σημείωση: όλες οι πτυχές αυτής της διαδικασίας υπόκεινται σε αλλαγές χωρίς προειδοποίηση, καθώς και σε εξαιρέσεις κατά περίπτωση. Δεν εγγυόμαστε κανένα ιδιαίτερο επίπεδο ανταπόκρισης για οποιοδήποτε συγκεκριμένο ζήτημα ή κατηγορία ζητημάτων.

ΚΟΙΝΟΠΟΙΗΣΗ